隨著互聯(lián)網(wǎng)的發(fā)展,到2021年9月,服務(wù)器依然是DDoS攻擊的目標(biāo)。分布式拒絕服務(wù)攻擊(DDoS)是基于DoS的一種特殊形式的拒絕服務(wù)攻擊,是一種分布式協(xié)同的大規(guī)模攻擊模式。DDoS攻擊通常會(huì)導(dǎo)致攻擊者的業(yè)務(wù)無法訪問,這被稱為拒絕服務(wù)。如何防止服務(wù)器受到DDoS攻擊的方法并不是萬能的。如果服務(wù)器受到流量過大的攻擊,可以聯(lián)系IDC解決。那么如何防止服務(wù)器受到DDoS的攻擊呢?
一、服務(wù)器上常見的DDoS攻擊包括以下幾類。
1.會(huì)話層攻擊:典型的攻擊類型是SSL連接攻擊,占用服務(wù)器的SSL會(huì)話資源,達(dá)到拒絕服務(wù)的目的。
2.傳輸層攻擊:典型的攻擊類型包括SYN Flood攻擊、連接號(hào)攻擊等。這些攻擊通過占用服務(wù)器的連接池資源,可以達(dá)到拒絕服務(wù)的目的。
3.應(yīng)用層攻擊:典型的攻擊類型包括DNS泛濫攻擊、HTTP泛濫攻擊、游戲假人攻擊等。這些攻擊占用了服務(wù)器的應(yīng)用處理資源,極大地消耗了服務(wù)器的處理性能,從而達(dá)到拒絕服務(wù)的目的。
4.網(wǎng)絡(luò)層攻擊:典型的攻擊類型是UDP反射攻擊,例如NTP Flood攻擊,主要利用大流量來堵塞攻擊者的網(wǎng)絡(luò)帶寬,導(dǎo)致攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問。
二、服務(wù)器被DDoS攻擊?DDoS攻擊對(duì)策有哪些?
1.如何防止服務(wù)器受到DDoS攻擊?隱藏服務(wù)器的真實(shí)IP。通過CDN節(jié)點(diǎn)轉(zhuǎn)移加速服務(wù),可以有效隱藏網(wǎng)站服務(wù)器的真實(shí)IP地址。CDN服務(wù)根據(jù)網(wǎng)站的具體情況進(jìn)行選擇。對(duì)于普通的中小企業(yè)網(wǎng)站或個(gè)人網(wǎng)站,可以先使用免費(fèi)的CDN服務(wù),云服務(wù)器,如百度云加速、七牛CDN等,待網(wǎng)站流量增加、需求高了再考慮付費(fèi)CDN服務(wù)。其次,為了防止服務(wù)器傳輸?shù)男畔⑿孤禝P地址,最常見的情況是服務(wù)器不應(yīng)該使用發(fā)送郵件的功能,因?yàn)猷]件頭會(huì)泄露服務(wù)器的IP地址。如果必須發(fā)送郵件,可以通過第三方代理(比如sendcloud)發(fā)送,這樣向外顯示的IP就是代理的IP地址。
2.如何防止服務(wù)器受到DDoS攻擊?買高防御提高承載力。措施是通過購買高安全性的盾構(gòu)機(jī),增加服務(wù)器的帶寬等資源,提高抵御攻擊的能力。一些知名的IDC服務(wù)商已經(jīng)提供了相應(yīng)的服務(wù),但是這種方案的成本預(yù)算比較高,不適合普通的中小企業(yè)甚至是個(gè)人站長,服務(wù)器資源在沒有受到攻擊的時(shí)候是閑置的,這里就不細(xì)說了。
3.如何防止服務(wù)器受到DDoS攻擊?網(wǎng)站請(qǐng)求IP過濾。除了服務(wù)器,網(wǎng)站程序本身的安全性能也需要提高。系統(tǒng)安全機(jī)制中的過濾功能通過限制POST請(qǐng)求、單位時(shí)間404頁等訪問操作,過濾掉次數(shù)過多的異常行為。雖然這對(duì)DDOS攻擊沒有明顯的改善效果,但也在一定程度上減少了小帶寬的惡意攻擊。
4.如何防止服務(wù)器受到DDoS攻擊?定期檢查服務(wù)器漏洞。定期檢查服務(wù)器軟件的安全漏洞是保證服務(wù)器安全最基本的措施。無論是操作系統(tǒng)(Windows還是linux)還是網(wǎng)站上常用的應(yīng)用軟件(mysql、Apache、nginx、FTP等)。服務(wù)器運(yùn)維人員要特別關(guān)注這些軟件的最新漏洞,虛擬主機(jī),及時(shí)修補(bǔ)高風(fēng)險(xiǎn)漏洞。
5.如何防止服務(wù)器受到DDoS攻擊?關(guān)閉不必要的服務(wù)或端口。這也是服務(wù)器運(yùn)維人員最常見的做法。在服務(wù)器防火墻中,只開放使用的端口,如網(wǎng)站web服務(wù)的端口80、數(shù)據(jù)庫的端口3306、SSH服務(wù)的端口22等。關(guān)閉不必要的服務(wù)或端口,過濾路由器上的假IP。
6.如何防止服務(wù)器受到DDoS攻擊?限制SYN/ICMP流量。用戶應(yīng)該在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP數(shù)據(jù)包占用的最大帶寬。這樣,當(dāng)大量SYN/ICMP流量超過限制時(shí),就意味著不是正常的網(wǎng)絡(luò)訪問,而是黑客入侵。早期限制SYN/ICMP流量是防止DOS的最好方法。雖然目前這種方法對(duì)DDoS的效果并不明顯,但仍然可以起到一定的作用。百度云加速買一送一(優(yōu)惠來源mfisp.com),租用或托管服務(wù)器可咨詢夢(mèng)飛云idc了解。
