現如今ddos的危害越來越大,很多創業者剛開始的時候可能會因為控制成本問題而不捨的接入防禦,從而導致專案中支,今天小蟻君就給大家介紹幾個低成本的防禦方案:
1。如果只有幾臺計算機是攻擊的來源,並且你已經確定了這些來源的 IP 地址, 你就在防火牆伺服器上放置一份ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話 將 web 伺服器的 IP 地址變更一段時間,但是如果攻擊者透過查詢你的 DNS 伺服器解析到你新設定的IP,那這一措施及不再有效了。
2。如果你確定攻擊來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間。
3。監控進入的網路流量。透過這種方式可以知道誰在訪問你的網路,可以監控到異常的訪問者,可以在事後分析日誌和來源IP。在進行大規模的攻擊之前,攻擊者可能會使用少量的攻擊來測試你網路的健壯性。
4。對付頻寬消耗型的攻擊來說,最有效(也很昂貴)的解決方案是購買更多的頻寬。透過DDoS硬體防火牆對異常流量的清洗過濾,透過資料包的規則過濾、資料流指紋檢測過濾、及資料包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負載每秒可防禦800-927萬個syn攻擊包。
5。也可以使用高效能的負載均衡軟體,使用多臺伺服器,並部署在不同的資料中心。
6。對Web和其他資源使用負載均衡的同時,也使用相同的策略來保護DNS。
7。最佳化資源使用提高web server的負載能力。例如,使用apache可以安裝apachebooster外掛,該外掛與varnish和nginx整合,可以應對突增的流量和記憶體佔用。
8。使用高可擴充套件性的DNS裝置來保護針對DNS的DDoS攻擊。可以考慮購買Cloudflare的商業解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護。如果想獲得更多的服務支援(國外的安全服務一般是沒有售後的,如果遇到問題只能提交工單進行解決,效率很低。),可以考慮選擇國內的雲安全服務商。推薦小蟻雲安全、騰訊雲和阿里雲。
9。啟用路由器或防火牆的反IP欺騙功能。在CISCO的ASA防火牆中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點選“配置”中的“防火牆”,找到“anti-spoofing”然後點選啟用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內網建立 ACL,然後應用到網際網路的介面上。
10。使用第三方的服務來保護你的網站。有不少公司有這樣的服務,提供高效能的基礎網路設施幫你抵禦拒絕服務攻擊。你只需要按月支付幾百美元費用就行。
11。注意伺服器的安全配置,避免資源耗盡型的 DDoS 攻擊。
12。聽從專家的意見,針對攻擊事先做好應對的應急方案。
13。監控網路和 web 的流量。如果有可能可以配置多個分析工具,例如:Statcounter 和 Google analytics,這樣可以更直觀瞭解到流量變化的模式,從中獲取更多的資訊。
14。保護好 DNS 避免 DNS 放大攻擊。
15。在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連線超時,垃圾包丟棄,來源偽造的資料包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
16。 分散式叢集防禦:這是目前網路安全界防禦大規模DDoS攻擊的最有效辦法。分散式叢集防禦的特點是在每個節點伺服器配置多個IP地址,並且每個節點能承受不低於10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先順序設定自動切換另一個節點,並將攻擊者的資料包全部返回傳送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
17。雲防禦:目前,許多的企業面對大攻擊時都是採用這種方式來進行防禦,一方面可以透過雲進行排程,另一方面操作也非常的簡單,並且面對各種型別來勢洶洶的DDoS攻擊都能及時響應。但缺點是攻擊量大時是價格會比較高,這個要看企業對DDoS攻擊的衡量,是被打垮了損失的費用更大還是花錢抗D花費的費用更大。
