提到DDoS攻击,就不能不说到DDoS清洗,DDoS现在很常见,对ddos异常流量清洗过滤才能确保企业网站/APP业务正常稳定的运转。那应该如何对ddos异常流量清洗过滤呢?
我们首先来了解DDoS是如何攻击的
DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前运维人员对抗DDoS可以采取过滤 IP 地址方法的话, 那么面对当前 DDoS众多伪造出来的地址则显得没有办法。
一旦网站被 DDOS攻击后主机上有大量等待的 TCP连接,网络中充斥着大量的无用的数据包,源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速的发出特定的服务请求, 使受害主机无法及时处理所有正常请求; 严重时会造成系统死机。所以说防范网站被 DDoS攻击就变得更加困难了,如何对ddos异常流量清洗过滤呢?
(1)定期扫描
要预防网站被 DDOS攻击就要定期扫描现有的网络主节点,清查可能存在的安全漏洞, 对新出现的漏洞及时进行清理。 而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机, 这样可以保护真正的主机不被攻击。 当然导向的这些牺牲主机 可以选择不重要的, 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统
(3)配置高防IP来抵御DDoS攻击
这是一种较为理想的应对策略。如果用户加了高防IP来做防护(可根据攻击量随时升级套餐),在线上业务遭受到DDoS攻击时,将攻击流量引流到高防IP,对ddos异常流量清洗过滤,确保源站的稳定可靠。购买DDoS高防IP服务后,需要把域名解析到高防IP(Web业务把域名解析指向高防IP;非Web业务把业务IP替换成高防IP),并配置源站IP。配置完成后,所有公网流量都将经过高防IP机房,在机房清洗过滤恶意攻击流量,然后将正常流量通过端口协议转发的方式转发到源站IP,从而确保源站IP稳定访问。
(4)充分利用网络设备保护网络资源
死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了网站被 DDoS攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假 IP ,只开放服务端口成为目前很多服务器的流行做法,服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现,有助于提高网络安全性。
(7)限制 SYN/ICMP流量
用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击,虽然目前该方法对于网站被 DDOS攻击效果不太明显了, 不过仍然能够起到一定的作用。
网站被 DDoS攻击后是一个非常麻烦的问题,所以必须在网站被 DDoS攻击之前就做好相关的防护措施, 不要造成不必要的损失, 墨者安全高防,提供
DDoS异常流量清洗过滤,可全面抵御任何类型的DDoS及CC类型攻击,拥有国内最全病毒特征库样本,为最容易遭受攻击的金融小贷平台、游戏、电商、教育培训、竞价排名、医疗、独立经营性网站等高危网站制定专属策略,保证业务网站的正常访问。由前BAT资深网络安全工程师,知名网络安全站点板块大神,Sina微博负载插件开发者孤之剑主阵。