為了對(duì)抗 DDoS(分布式拒絕服務(wù))攻擊，你需要對(duì)攻擊時(shí)發(fā)生了什么有一個(gè)清楚的理解. 簡(jiǎn)單來(lái)講，DDoS 攻擊可以通過(guò)利用服務(wù)器上的漏洞，或者消耗服務(wù)器上的資源(例如 內(nèi)存、硬盤等等)來(lái)達(dá)到目的。DDoS 攻擊主要要兩大類: 帶寬耗盡攻擊和資源耗盡攻擊. 為了有效遏制這兩種類型的攻擊，你可以按照下面列出的步驟來(lái)做：

1. 如果只有幾臺(tái)計(jì)算機(jī)是攻擊的來(lái)源，并且你已經(jīng)確定了這些來(lái)源的 IP 地址, 你就在防火墻服務(wù)器上放置一份 ACL（訪問(wèn)控制列表) 來(lái)阻斷這些來(lái)自這些 IP 的訪問(wèn)。如果可能的話 將 web 服務(wù)器的 IP 地址變更一段時(shí)間，但是如果攻擊者通過(guò)查詢你的 DNS 服務(wù)器解析到你新設(shè)定的 IP，那這一措施及不再有效了。

2. 如果你確定攻擊來(lái)自一個(gè)特定的國(guó)家，可以考慮將來(lái)自那個(gè)國(guó)家的 IP 阻斷，至少要阻斷一段時(shí)間.

3、監(jiān)控進(jìn)入的網(wǎng)絡(luò)流量。通過(guò)這種方式可以知道誰(shuí)在訪問(wèn)你的網(wǎng)絡(luò)，可以監(jiān)控到異常的訪問(wèn)者，可以在事后分析日志和來(lái)源IP。在進(jìn)行大規(guī)模的攻擊之前，攻擊者可能會(huì)使用少量的攻擊來(lái)測(cè)試你網(wǎng)絡(luò)的健壯性。

4、對(duì)付帶寬消耗型的攻擊來(lái)說(shuō)，最有效（也很昂貴）的解決方案是購(gòu)買更多的帶寬。

5、也可以使用高性能的負(fù)載均衡軟件，使用多臺(tái)服務(wù)器，并部署在不同的數(shù)據(jù)中心。

6、對(duì)web和其他資源使用負(fù)載均衡的同時(shí)，也使用相同的策略來(lái)保護(hù)DNS。

7、優(yōu)化資源使用提高 web server 的負(fù)載能力。例如，使用 apache 可以安裝 apachebooster 插件，該插件與 varnish 和 nginx 集成，可以應(yīng)對(duì)突增的流量和內(nèi)存占用。

8、使用高可擴(kuò)展性的 DNS 設(shè)備來(lái)保護(hù)針對(duì) DNS 的 DDOS 攻擊。可以考慮購(gòu)買 Cloudfair 的商業(yè)解決方案，它可以提供針對(duì) DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護(hù)。

9、啟用路由器或防火墻的反IP欺騙功能。在 CISCO 的 ASA 防火墻中配置該功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中啟用該功能只要點(diǎn)擊“配置”中的“防火墻”，找到“anti-spoofing”然后點(diǎn)擊啟用即可。也可以在路由器中使用 ACL（access control list）來(lái)防止 IP 欺騙，先針對(duì)內(nèi)網(wǎng)創(chuàng)建 ACL，然后應(yīng)用到互聯(lián)網(wǎng)的接口上。

10、使用第三方的服務(wù)來(lái)保護(hù)你的網(wǎng)站。有不少公司有這樣的服務(wù)，提供高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施幫你抵御拒絕服務(wù)攻擊。你只需要按月支付幾百美元費(fèi)用就行。

11、注意服務(wù)器的安全配置，避免資源耗盡型的 DDOS 攻擊。

12、聽從專家的意見，針對(duì)攻擊事先做好應(yīng)對(duì)的應(yīng)急方案。

13、監(jiān)控網(wǎng)絡(luò)和 web 的流量。如果有可能可以配置多個(gè)分析工具，例如：Statcounter 和 Google analytics，這樣可以更直觀了解到流量變化的模式，從中獲取更多的信息。

14、保護(hù)好 DNS 避免 DNS 放大攻擊。

15、在路由器上禁用 ICMP。僅在需要測(cè)試時(shí)開放 ICMP。在配置路由器時(shí)也考慮下面的策略：流控，包過(guò)濾，半連接超時(shí)，垃圾包丟棄，來(lái)源偽造的數(shù)據(jù)包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播。

最后多了解一些 DDOS 攻擊的類型和手段，并針對(duì)每一種攻擊制定應(yīng)急方案。

最新評(píng)論