1. 首頁 > 生活經驗 > >

怎么防御DDoS攻擊 抗ddos設備的作用

知識百科經驗分享


有什么措施可以有效防御ddos?11種方法教你有效防御DDOS攻擊:
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品 。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的 。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了 。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了 。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚 。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧 。
5、將網站做成靜態頁面或者偽靜態
事實證明,將網站做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現 ?,F在很多門戶網站主要都是靜態頁面,若你非要動態腳本調用,那就把它弄到另外一個單獨主機,免的遭受攻擊時連累主服務器 。當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為 。
6、增強操作系統的TCP/IP棧
win2000和win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數百個 。
7、安裝專業抗DDOS防火墻
8、HTTP請求攔截
如果惡意請求有特征,對付起來很簡單,直接攔截就可以 。HTTP請求的特征一般有兩種:IP地址和User Agent字段 。
9、備份網站
你要有一個備份網站,或者最低限度有一個臨時主頁 。生產服務器萬一下線了,可以立刻切換到備份網站,不至于毫無辦法 。
備份網站不一定是全功能的,如果能做到全靜態瀏覽,就能滿足需求,最低限度應該可以顯示公告,告訴用戶,網站出了問題,正在搶修 。這種臨時主頁建議放到Github
Pages或者Netlify,它們的帶寬大,可以應對攻擊,而且都支持綁定域名,還能從源碼自動構建 。
10、部署CDN
CDN指的是網站的靜態內容分布到多個服務器,用戶就近訪問,提高速度 。因此,CDN也是帶寬擴容的一種方法,可以用來防御DDOS攻擊 。
網站內容存放在源服務器,CDN上面是內容的緩存 。用戶只允許訪問CDN,如果內容不在CDN上,CDN再向源服務器發出請求 。這樣的話,只要CDN夠大,就可以抵御很大的攻擊 。不過,這種方法有一個前提,網站的大部分內容必須可以靜態緩存 。對于動態內容為主的網站,就要想別的辦法,盡量減少用戶對動態數據的請求;本質就是自己搭建一個微型CDN 。各大云服務商提供的高防IP,背后也是這樣做的:網站域名指向高防IP,它提供了一個緩沖層,清洗流量,并對源服務器的內容進行緩存 。
這里有一個關鍵點,一旦上了CDN,千萬不要泄露源服務器的IP地址,否則攻擊者可以繞過CDN直接攻擊源服務器,前面的努力都白費了 。
11、其他防御手段
以上的幾條建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就比較麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入 。
如何防御DDoS攻擊怎么抵御DDOS?
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵御90%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDOS攻擊 。以下為筆者多年以來抵御DDOS的經驗和建議,和大家分享!
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品 。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的 。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了 。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了 。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚 。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧 。
5、把網站做成靜態頁面
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為 。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》 。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》
怎么防御DDoS攻擊?一.網絡設備設施
網絡架構、設施設備是整個系統得以順暢運作的硬件基礎,用足夠的機器、容量去承受攻擊,充分利用網絡設備保護網絡資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失 。相應地,投入資金也不小,但網絡設施是一切防御的基礎,需要根據自身情況做出平衡的選擇 。
1. 擴充帶寬硬抗
網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數 。但DDoS卻不同,攻擊者通過控制一些服務器、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M,那么攻擊者就有了10G的流量 。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了 。增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御 。
2. 使用硬件防火墻
許多人會考慮使用硬件防火墻,針對DDoS攻擊和黑客入侵而設計的專業級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊 。如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬件防火墻機房 。但如果網站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住 。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網絡層檢查數據包,若是DDoS攻擊上升到應用層,防御能力就比較弱了 。
3. 選用高性能設備
除了防火墻,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力 。在有網絡帶寬保證的前提下,應該盡量提升硬件配置 。
二、有效的抗D思想及方案
硬碰硬的防御偏于“魯莽”,通過架構布局、整合資源等方式提高網絡的負載能力、分攤局部過載的流量,通過接入第三方服務識別并攔截惡意流量等等行為就顯得更加“理智”,而且對抗效果良好 。
4. 負載均衡
普通級別服務器處理數據的能力最多只能答復每秒數十萬個鏈接請求,網絡處理能力很受限制 。負載均衡建立在現有網絡結構之上,它提供了一種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效 。CC攻擊使服務器由于大量的網絡傳輸而過載,而通常這些網絡流量針對某一個頁面或一個鏈接而產生 。在企業網站加上負載均衡方案后,鏈接請求被均衡分配到各個服務器上,減少單個服務器的負擔,整個服務器系統可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快 。
5. CDN流量清洗
CDN是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術 。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了 。這里我們推薦一款高性比的CDN產品:百度云加速,非常適用于中小站長防護 。相關鏈接
6. 分布式集群防御
分布式集群防御的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDoS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策 。
服務器怎樣做好防御ddos攻擊?可以通過做好隱藏和硬抗兩個方面來防御DDoS攻擊:
1、做好日常隱藏工作
對于企業來說,減少公開暴露是防御 DDoS 攻擊的有效方式 。比如說:網站做CDN加速,隱藏真實IP;限制特定IP訪問等 。
2、硬抗
在遭受DDoS攻擊的時間,可以通過擴大出口帶寬、購買景安DDOS防護產品 。
擴展資料:
DDoS的表現形式主要有兩種,一種為流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法網絡包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務 。
參考資料:百度百科:DDoS
景安網絡:服務器如何做好ddos防御?
如何有效防御DDOS攻擊?11種方法教你有效防御DDOS攻擊:
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品 。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的 。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了 。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了 。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚 。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧 。
5、將網站做成靜態頁面或者偽靜態
事實證明,將網站做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現 。現在很多門戶網站主要都是靜態頁面,若你非要動態腳本調用,那就把它弄到另外一個單獨主機,免的遭受攻擊時連累主服務器 。當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為 。
6、增強操作系統的TCP/IP棧
win2000和win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數百個 。
7、安裝專業抗DDOS防火墻
8、HTTP請求攔截
如果惡意請求有特征,對付起來很簡單,直接攔截就可以 。HTTP請求的特征一般有兩種:IP地址和User Agent字段 。
9、備份網站
你要有一個備份網站,或者最低限度有一個臨時主頁 。生產服務器萬一下線了,可以立刻切換到備份網站,不至于毫無辦法 。
備份網站不一定是全功能的,如果能做到全靜態瀏覽,就能滿足需求,最低限度應該可以顯示公告,告訴用戶,網站出了問題,正在搶修 。這種臨時主頁建議放到Github
Pages或者Netlify,它們的帶寬大,可以應對攻擊,而且都支持綁定域名,還能從源碼自動構建 。
10、部署CDN
CDN指的是網站的靜態內容分布到多個服務器,用戶就近訪問,提高速度 。因此,CDN也是帶寬擴容的一種方法,可以用來防御DDOS攻擊 。
網站內容存放在源服務器,CDN上面是內容的緩存 。用戶只允許訪問CDN,如果內容不在CDN上,CDN再向源服務器發出請求 。這樣的話,只要CDN夠大,就可以抵御很大的攻擊 。不過,這種方法有一個前提,網站的大部分內容必須可以靜態緩存 。對于動態內容為主的網站,就要想別的辦法,盡量減少用戶對動態數據的請求;本質就是自己搭建一個微型CDN 。各大云服務商提供的高防IP,背后也是這樣做的:網站域名指向高防IP,它提供了一個緩沖層,清洗流量,并對源服務器的內容進行緩存 。
這里有一個關鍵點,一旦上了CDN,千萬不要泄露源服務器的IP地址,否則攻擊者可以繞過CDN直接攻擊源服務器,前面的努力都白費了 。
11、其他防御手段
以上的幾條建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就比較麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入 。
網站被攻擊了如何防御?抗DDOS攻擊需要這么做想要順利抗DDOS攻擊,那么可以選擇采用高性能的服務設備,往往在面對流量攻擊的時候,如果設備較好,那么就可以通過流量限制的方式來應對攻擊,這個方法還是比較有效的 。另外,也可以選擇避免使用NAT的方式抗住攻擊,因為很多時候這樣都會降低網絡的通信能力,這樣也就相當于間接的減少了防御的能力,所以通過避免使用NAT,能夠起到防護效果 。
如果網站的網絡帶寬足夠強,那么自然能夠輕松抗住攻擊,因為這是直接決定了抗受的能力,銳速云分享如果有100M的帶寬,那么在面對攻擊的時候是十分輕松的,不過這個方法成本較高,不是很推薦 。另外,也可以通過將網站做成靜態頁面的方式起到防護效果,缺點就是比較繁瑣,一般只有大型網站才會這么做 。
以上就是關于抗DDOS攻擊的方法介紹,上述幾種方法都是比較有效的,感興趣的朋友可以去試一下 。
【怎么防御DDoS攻擊 抗ddos設備的作用】關于抗ddos和抗ddos設備的作用的內容就分享到這兒!更多實用知識經驗,盡在 m.apearl.cn