为了对抗 DDoS(分布式拒绝服务)攻击,你需要对攻击时发生了什么有一个清楚的理解. 简单来讲,DDoS 攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击,你可以按照下面列出的步骤来做:
1. 如果只有几台计算机是攻击的来源,并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份 ACL(访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间,但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的 IP,那这一措施及不再有效了。
2. 如果你确定攻击来自一个特定的国家,可以考虑将来自那个国家的 IP 阻断,至少要阻断一段时间.
7、优化资源使用提高 web server 的负载能力。例如,使用 apache 可以安装 apachebooster 插件,该插件与 varnish 和 nginx 集成,可以应对突增的流量和内存占用。
8、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案,它可以提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。
9、启用路由器或防火墙的反IP欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中启用该功能只要点击“配置”中的“防火墙”,找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL(access control list)来防止 IP 欺骗,先针对内网创建 ACL,然后应用到互联网的接口上。
评论删除后,数据将无法恢复
评论(24)
引用来自“huigeer”的评论
大公司: 硬防+海量带宽资源小公司:云防 or 等死
引用来自“布洛克斯”的评论
小公司不会有人搞引用来自“savior”的评论
同级别的竞争对手会搞 比如最简单的siege扫描你网站的搜索页面 不仅吃带宽而且会把你的mysql拖垮引用来自“huigeer”的评论
大公司: 硬防+海量带宽资源小公司:云防 or 等死
引用来自“布洛克斯”的评论
小公司不会有人搞引用来自“huigeer”的评论
大公司: 硬防+海量带宽资源小公司:云防 or 等死
引用来自“布洛克斯”的评论
小公司不会有人搞引用来自“huigeer”的评论
大公司: 硬防+海量带宽资源小公司:云防 or 等死
引用来自“huigeer”的评论
大公司: 硬防+海量带宽资源小公司:云防 or 等死
引用来自“布洛克斯”的评论
小公司不会有人搞引用来自“sadsamly”的评论
沒硬防都是死