如何保护您的网络免受DDoS攻击
如何保护你的网络正如你所看到的,各种DDoS攻击,不可能防范,当你想建立一个防御系统对DDoS,你需要掌握这些攻击的形态变化。
笨重的防守是更大的带宽,花了很多钱。拒绝服务像是一场游戏。如果你使用10000系统的送1mbps交通,这意味着10GB的数据流量每秒你发送到你的服务器,这将造成拥堵。在这种情况下,同样的规则适用于在正常的冗余。这一点,你需要更多的服务器,所有的数据中心,更好的负载平衡服务。分散交通在多个服务器来帮助你平衡交通,和更大的带宽,可以帮助你应付各种大型的交通问题。但是现代的DDoS攻击越来越疯狂,你需要带宽越来越大,你的财务状况不容许你投入更多的钱。此外,最在那个时候,你的网站不是攻击的主要目标,许多管理员已经忘记了这一点。
网络中最关键的部分是DNS服务器,将DNS解析器放在开放状态是绝对不可取的,您应该将其锁定以减少攻击风险的一部分,但这样做后,我们的服务器是否安全答案当然是否定的。即使你的网站没有链接到你的DNS服务器,它可以很好为你分析域名注册的域名。最需要两个DNS服务器,但这是远远不够的,你必须确保你的DNS服务器,您的网站和其他资源都处于一种平衡状态保护。你也可以使用冗余DNS。例如,一些公司提供的内容分发网络(分布式状态)将文件发送给客户,这是抵御DDoS攻击的好方法,如果您需要它,也有许多公司提供对该DNS的保护。
如果你管理你的网络和数据的自己,你需要关注你的网络层和做很多配置。首先,确保你的所有路由器能够屏蔽垃圾包和删除一些未使用的协议,如ICMP。然后建立一个好的防火墙。显然,你的网站将决不允许一个随机的DNS服务器被访问,所以不需要允许UDP 53端口的数据包通过你的服务器,你可以问问你的供应商为你设置一些边界的网络设置,防止一些无用的信息,这样你可以获得最大、最畅通的带宽。许多网络供应商为企业提供这样的服务。你可以通过网络操作中心与他们联系,这样他们就可以为你优化交通,并帮助你监视你是否被攻击了。
有很多方法可以防止像Syn这样的攻击,比如TCP的积压、SYN接收计时器的减少、或SYN缓存的使用等等。
最后,你应该考虑如何阻止这些攻击在他们到达你的网站,例如,现代的网站使用了大量的动态资源。带宽是比较容易控制的攻击时,但最终的损失是你运行数据库或脚本,你可以考虑使用缓存服务器提供尽可能多的静态内容,并迅速取代静态资源和动态资源保证检测系统的正常运行。
其中一个最糟糕的情况是,你的网络或网站完全瘫痪,你应该制定计划时攻击才刚刚开始。因为一旦攻击开始,它是从源头上阻止DDoS攻击非常困难。最后,你应该想想如何让你的基础设施更加合理、安全,并重点你的网络设置。这些都是很重要的。