目前还没有人敢说能彻底防御DDoS。Web安全是一个大课题,在网络安全事件中,针对Web的攻击是最多的。DDoS就是流量攻击,最常见也是最难防御的。
由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为最难防御的网络攻击之一。可导致网站宕机、崩溃、内容被篡改,进一步造成用户品牌、财产严重受损。分享几个防御DDoS攻击的方案,希望能帮助到有需要的用户。
一、自主防御:
(1)确保采用最新系统,并及时更新打上安全补丁。
(2)定期扫描漏洞,要确保程序软件没有任何漏洞,防止攻击者入侵,及时打上补丁修复漏洞。
(3)过滤不必要的服务和端口,即过滤路由器上的假IP,只打开服务端口,例如WWW服务器只打开80个端口,关闭所有其他端口,或在防火墙上设置阻止它们。
(4)检查访客来源,使用单播反向路径转发等方法,通过反向路由器查询,检查访客IP地址是否为真,如果为假,则屏蔽。许多黑客经常使用假IP地址来迷惑用户,很难找到它的来源,因此使用单播反向路径转发可以减少假IP地址的发生,有助于提高网络安全性。
二、采用高防IP:
高防IP是针对互联网在遭受大流量DDoS攻击后,导致服务不可用的情况下的服务,其防御原理是用户可通过配置高防IP,将攻击流量引流到高防IP,从而保护真正的IP不被暴露,确保源站的稳定安全。
三、配置Web应用程序防火墙:
国内数据中心一般都会采用防火墙防御DDoS攻击,我们今天把防火墙情况分为两种:
(1)集群防御,单线机房防御一般在:10G-32G的集群防御,BGP多线机房一般为:10G以内集群防火墙。
(2)独立防御,独立防御都是出现在单线机房,或者是多线多ip机房,机房防御能力一般为:10G-200G不等,这种机房是实现的单机防御能力,随着数据中心的防御DDoS攻击的能力提高,还有就是竞争压力比较大,高防的价格也在不断的创造新低。
四、CDN内容分发:
通过CDN防御的方式:CDN技术的初衷是提高互联网用户对网站的访问速度,但是由于分布式多节点的特点,又能够对分布式拒绝攻击流量产生稀释的效果。所以目前CDN防御的方式不但能够起到防御的作用,而且用户的访问请求是到最近的缓存节点,所以也对加速起到了很好的作用。
CDN防御的最重要的原理:通过智能DNS的方式将来自不同位置的流量分配到对应的位置上的节点上,这样就让区域内的节点成为流量的接收中心,从而将流量稀释的效果,在流量被稀释到各个节点后,就可以在每个节点进行流量清洗。从而起到防御作用。
目前针对防御DDoS流量攻击的方法中CDN防御也分为自建CDN防御,这种情况防御能力较好,但是成本较高,需要部署多节点,租用各个节点服务器,如果应用较少的话,造成资源浪费。另外就是租用别人现成的CDN防御,可以极大的节省成本,并且防御能力很少非常好。