如果網(wǎng)站被DDoS攻擊,如何保護(hù)服務(wù)器安全?
DDoS防御服務(wù)器是中國較好的防御機(jī)房,它可以忽略所有CC攻擊,在數(shù)秒內(nèi)解決DDoS攻擊,提供更高的安全性,并提供T級集群防御。
BGP多線高防護(hù)機(jī)房、中國聯(lián)通雙線雙IP真機(jī)房、單線高防護(hù)機(jī)房。
一、無法打開網(wǎng)站。這一功能主要表現(xiàn)為:web服務(wù)器提供網(wǎng)頁瀏覽、上傳等服務(wù)變得很慢或無法再提供服務(wù)。但也可能是網(wǎng)站帶寬或其他原因,所以需要結(jié)合其他癥狀來判斷。
二、CPU過載。如果站長發(fā)現(xiàn)原來正常的服務(wù)器占用了大量的CPU和內(nèi)存,CPU長期處于的狀態(tài),很可能是DDoS造成的。
三、網(wǎng)絡(luò)被阻塞。如果網(wǎng)絡(luò)上有大量非法數(shù)據(jù)包或偽造數(shù)據(jù)包,這也是DDoS的癥狀之一。比較典型的情況是同一IDC下的多個(gè)網(wǎng)站無法訪問。這是因?yàn)榫薮蠖y以想象的數(shù)據(jù)流入整個(gè)IDC入口節(jié)點(diǎn),導(dǎo)致IDC被DDoS擊倒,導(dǎo)致整個(gè)IDC下的所有網(wǎng)站都無法訪問并停止服務(wù)。
四、經(jīng)常被攻擊。如果受到DDoS攻擊,特別是當(dāng)CPU處于利用率的高風(fēng)險(xiǎn)時(shí),服務(wù)器將重復(fù)重啟。
判斷服務(wù)器是否遭遇DDoS是基于多個(gè)方向的。如果存在癥狀并且它們相互關(guān)聯(lián),那么我們可以定位DDoS攻擊以確定DDoS攻擊的類型并構(gòu)建防御系統(tǒng)。在選擇服務(wù)器時(shí)要仔細(xì)檢查機(jī)房的安全防護(hù)。例如,香港機(jī)房的超大流量黑洞清洗系統(tǒng)和細(xì)心的防火墻用于租用服務(wù)器,可以有效地防止各種DDoS攻擊。另外,我們建議優(yōu)先租用虛擬機(jī),這樣可以有效防止DDoS惡意攻擊。
五、如何防范服務(wù)器上的DDoS攻擊?
1、如果只有少數(shù)計(jì)算機(jī)是攻擊源,并且您已確定這些源的IP地址,則您將在防火墻服務(wù)器上放置一個(gè)ACL(訪問控制列表),以阻止從這些IP地址進(jìn)行訪問。如果可能,請?jiān)谝欢螘r(shí)間內(nèi)更改web服務(wù)器的IP地址,但如果攻擊者通過查詢DNS服務(wù)器解析為新設(shè)置的IP,則此措施不再有效。
2、如果您確定攻擊來自某個(gè)特定**,則可以考慮在至少一段時(shí)間內(nèi)阻止該**的IP
3、監(jiān)視傳入的網(wǎng)絡(luò)流量。這樣,您就可以知道誰在訪問您的網(wǎng)絡(luò),監(jiān)視異常訪問者,并在事件發(fā)生后分析日志和源IP。在進(jìn)行大規(guī)模攻擊之前,攻擊者可能會使用少量攻擊來測試網(wǎng)絡(luò)的健壯性。
4、對于帶寬消耗攻擊,比較有效(也是比較昂貴)的解決方案是購買更多的帶寬。
5、您還可以使用高性能負(fù)載平衡軟件,使用多個(gè)服務(wù)器,并將它們部署在不同的數(shù)據(jù)中心。
6、對web和其他資源使用負(fù)載平衡時(shí),使用相同的策略來保護(hù)DNS。
7、優(yōu)化資源利用,提高web服務(wù)器的負(fù)載能力。例如,可以使用Apache安裝Apache booster插件,該插件與varnish和nginx集成,以應(yīng)對流量和內(nèi)存消耗的突然增加。
8、使用高度可擴(kuò)展的DNS設(shè)備保護(hù)針對DNS的DDoS攻擊??紤]購買cloudfair的商業(yè)解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護(hù)。
9、啟用路由器或防火墻的防IP欺騙功能。在Cisco的ASA防火墻中配置此功能比在路由器中更方便。要在ASDM(Cisco adaptive security device manager)中啟用此功能,只需單擊configuration中的firewall,找到anti-spoofing,然后單擊enable。ACL(訪問控制列表)也可用于路由器以防止IP欺騙。ACL首先為intranet創(chuàng)建,然后應(yīng)用于Internet接口。
10、使用第三方服務(wù)來保護(hù)您的網(wǎng)站。很多公司都有這樣的服務(wù),提供高性能的基礎(chǔ)設(shè)施來幫助您抵御拒絕服務(wù)攻擊。你一個(gè)月只需付幾百美元。
11、注意服務(wù)器的安全配置,避免資源耗盡的DDoS攻擊。
12、聽從的建議,提前準(zhǔn)備攻擊應(yīng)急預(yù)案。
13、監(jiān)控網(wǎng)絡(luò)和網(wǎng)絡(luò)流量。如果可能,您可以配置多個(gè)分析工具,如StatCounter和Google Analytics,這樣您可以更直觀地了解流量變化的模式,并從中獲取更多信息。
14、禁用路由器上的ICMP。僅在需要測試時(shí)打開ICMP。在配置路由器時(shí),還應(yīng)考慮以下策略:流控制、包過濾、半鏈接超時(shí)、垃圾包丟棄、源偽造包丟棄、syn閾值、禁用ICMP和UDP廣播。
想了解更多SEO新聞的內(nèi)容,請?jiān)L問:SEO新聞