Nico77 幼龙

有 0 人收听 TA

港深、港菲、港台专线新加坡服务器 托管+租用 CN2优质网络路线稳定,ISP本地线接入,小盒子,二手服务 ...

65主题 48回复 292积分
收起左侧
发新帖

防御服务器DDOS攻击7个有效建议

时间:2020-12-11 09:44 0 2246 | 复制链接 |

马上注册,结交更多好友

您需要 登录 才可以下载或查看,没有账号?立即注册

x
原创作者:葵芳IDC     非商业转载请注明出处,商业转载请联系

    首先介绍一下什么是DoS(DenialofService),DoS是基于网络的、阻止用户正常访问网络服务的攻击。它采用发起大量网络连接,使服务器或者是运行在服务器上的程序崩溃、耗尽资源或以其他方式阻止客户访问网络服务。

    而DDoS(DistributedDenialofService)是由DoS演变而来,基本原理和DoS是一样的,黑客利用控制的计算机(肉鸡)对一个特定的目标发送尽可能多的网络访问请求,形成流量洪流来冲击目标系统。

    为什么说DDoS攻击很泛滥?

    因为便宜啊,可是效果明显啊。网站能做到没bug,但是再牛也扛不住大规模的DDoS啊,20M的小水管利用NTP可以搞出2G/s的攻击效果,DDoS圈里能打出上百G的大有人在,况且DDoS已经有很完整的产业链了。

    1、持续更新系统

    首先我们就是要保障服务器软件没有任何安全漏洞,避免攻击者入侵。一定要确定服务器是采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关掉未使用的端口号。对于服务器上运作的网站,保证其打了最新的补丁,没有网络安全问题。因为,只有保证自身安全,才能让“敌人”没有可趁之机。

    2、假如能最好隐藏服务器IP

    可以选择将所有的域名以及子域名都使用CDN来解析,这样可以隐藏服务器的真实IP,从而也不容易让服务器被DDOS攻击。不要把域名直接解析到服务器的真实IP地址,不能让服务器真实IP泄漏,服务器前端加CDN中转(免费的CDN一般能防止5G左右的DDOS),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。

    有效防御攻击服务器的DDOS方式

    此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。总之,只要服务器的真实IP不泄露,5G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过10G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。

    3、发送邮件要小心

    一般情况下,服务器对外传送信息会泄漏IP,因此,大家最好别用服务器来大量发送邮件。假如一定要发送邮件,可以通过**代理软件进行发送,这样显示出来的IP是代理IP,也不容易暴露服务器真实IP。

    另外,现在80%以上的网络攻击都是从一封钓鱼邮件开始的。因而,除了不要“明目张胆”的发送邮件外,对于,来路不明的邮件、文件以及链接也不要轻易的点击,以防招来麻烦。

    4、实时监控,定期扫描

    要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

    5、利用海量带宽清洗攻击流量

    传统高防服务器存在着很多防御能力弱、价格昂贵等缺陷,葵芳等IDC服务商,着力开发新型高防服务器,并成功推出市场。新型高防服务器租用,是从根源上与传统高防服务器区别开来。

    传统高防服务器是依靠机房提供的硬件防火墙实现防御,完全依赖机房提供的带宽来缓解DDoS攻击带来的超大流量,由于国际带宽昂贵,因此无法提供更高的防御能力。

    6、过滤不必要的服务和端口

    过滤不必要的服务和端口,即在路由器上过滤假IP。只开放服务端口成为很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

扫码添加微信客服
快速回复 返回列表 返回顶部