如何防范服务器上的DDoS攻击?

作者:管理员 日期 :2020-03-20
1、如果只有少数计算机是攻击源,并且您已确定这些源的IP地址,则您将在防火墙服务器上放置一个ACL(访问控制列表),以阻止从这些IP地址进行访问。如果可能,请在一段时间内更改web服务器的IP地址,但如果攻击者通过查询DNS服务器解析为新设置的IP,则此措施不再有效。
 
2、如果您确定攻击来自某个特定国家,则可以考虑在至少一段时间内阻止该国家的IP
 
3、监视传入的网络流量。这样,您就可以知道谁在访问您的网络,监视异常访问者,并在事件发生后分析日志和源IP。在进行大规模攻击之前,攻击者可能会使用少量攻击来测试网络的健壮性。
 
4、对于带宽消耗攻击,比较有效(也是比较昂贵)的解决方案是购买更多的带宽。
 
5、您还可以使用高性能负载平衡软件,使用多个服务器,并将它们部署在不同的数据中心。
 
6、对web和其他资源使用负载平衡时,使用相同的策略来保护DNS。
 
7、优化资源利用,提高web服务器的负载能力。例如,可以使用Apache安装Apache booster插件,该插件与varnish和nginx集成,以应对流量和内存消耗的突然增加。
 
8、使用高度可扩展的DNS设备保护针对DNS的DDoS攻击。考虑购买cloudfair的商业解决方案,它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。
 
9、启用路由器或防火墙的防IP欺骗功能。在Cisco的ASA防火墙中配置此功能比在路由器中更方便。要在ASDM(Cisco adaptive security device manager)中启用此功能,只需单击configuration中的firewall,找到anti-spoofing,然后单击enable。ACL(访问控制列表)也可用于路由器以防止IP欺骗。ACL首先为intranet创建,然后应用于Internet接口。
 
10、使用第三方服务来保护您的网站。很多公司都有这样的服务,提供高性能的基础设施来帮助您抵御拒绝服务攻击。你一个月只需付几百美元。
 
11、注意服务器的安全配置,避免资源耗尽的DDoS攻击。
 
12、听从专家的建议,提前准备攻击应急预案。
 
13、监控网络和网络流量。如果可能,您可以配置多个分析工具,如StatCounter和Google Analytics,这样您可以更直观地了解流量变化的模式,并从中获取更多信息。
 
14、禁用路由器上的ICMP。仅在需要测试时打开ICMP。在配置路由器时,还应考虑以下策略:流控制、包过滤、半链接超时、垃圾包丢弃、源伪造包丢弃、syn阈值、禁用ICMP和UDP广播。