如何有效缓解DDoS攻击?主要的手段有哪些?

如何有效缓解DDoS攻击?主要的手段有哪些?,第1张

  他人发起DDoS攻击你,那是外因,我们改变不了。但是我们可以从内做防御,缓解DDoS攻击。一般是从减少暴漏、优化架构、服务器加固、业务监控、商业解决方案等几方面着手。

  减少暴漏

  攻击之前,对方会扫描你的开放端口,针对你所提供的服务,让僵尸网络合法侵占你的资源。所以我们尽量避免将服务器的端口暴漏在公网上。阿里云的安全组可以有效防止系统被扫描或者意外暴露。

  优化业务架构

  运营前期,技术团队都会对业务架构进行压力测试,但很多时候,企业处于成本考虑,没有做好弹性和冗余,这导致我们在面对攻击时,变得不堪一击。

  部署弹性伸缩+负载均衡:负载均衡能够降低单台ECS的压力,可以有效缓解一定流量范围内的连接层DDoS攻击;负载均衡可以有效的缓解会话层和应用层攻击,在遭受攻击时自动增加服务器,提升处理性能,避免业务遭受严重影响。

  余量带宽:利用TCP三次握手可以发起DDoS攻击,占用你的宽带资源,所以在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

  服务安全加固

  对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:

  确保服务器的系统文件是最新的版本,并及时更新系统补丁。

  对所有服务器主机进行检查,清楚访问者的来源。

  过滤不必要的服务和端口。例如,对于WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上设置阻止策略。

  限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。

  仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。

  限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。

  充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。

  通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。

  业务监控

  阿里云的云监控服务可用于收集、获取阿里云资源的监控指标或用户自定义的监控指标,探测服务的可用性,并支持针对指标设置警报。

  商用安全方案

  事实上,当企业一直遭受大规模的DDoS攻击时,以上几种防御方法,显得很渺小,分分钟几十G上百G的攻击流量,只能通过寻求商业安全解决方案来解决。

一)安装对策

  在进行系统安装时,采取以下对策:

  1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。

  2、在安装操作系统时,建议至少分三个磁盘分区。第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。

  3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。

  4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。

  5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。安装系统补丁一定要全面。

  6、做系统的ghost以备还原。

  (二)运行对策

  在系统运行时,采取以下对策:

  1、关闭系统默认共享

  修改系统注册表,禁止默认共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。

  2、删除多余的不需要的网络协议,只保留TCP/IP网络通讯协议。

  3、关闭不必要的有安全隐患的服务

  用户可以根据实际情况,关闭如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等有安全隐患的系统服务。 

  4、启用安全策略(Gpeditmsc 打开系统策略编辑器)

  (1)帐号锁定策略。设置帐号锁定阀值,3次无效登录后,即锁定帐号。

  (2)密码策略。

  一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符。

  二是服务器密码长度最少设置为8位字符以上。

  (3)审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。

  (4)“用户权利指派”。在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。

  (5)“安全选项”。在“安全选项”中,将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接,[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息的泄露。

  5、加强对Administrator帐号和Guest帐号的管理监控

  将Administrator帐号重新命名,创建一个陷阱账号,名为“Administrator”,口令为10位以上的复杂口令,其权限设置成最低,即:将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators 权限,只在需要的时候使用。修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。

  6、 关闭文件和打印共享

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001

服务器安全加固系统即SSR,例如中超伟业SSR服务器安全加固系统,采用内核加固技术,在操作系统核心层设置一个自主可控的安全壳,拦截威胁对资源的访问行为,按照智能的白名单控制访问策略,确保系统中人员、应用程序可信,权限可控,全面保护加固操作系统。

最近几年,勒索病毒“异军突起”让本来就严峻的数据安全更是雪上加霜,几乎是每隔几天,就会有企事业单位中招。勒索病毒,是一种性质恶劣、危害极大的电脑病毒,主要通过邮件、木马、网页挂马、漏洞利用、RDP弱口令暴力破解等形式进行传播。由于这种病毒利用各种加密算法对文件进行加密,一旦感染一般无法解密,只有向勒索者支付赎金才能解密。如果感染者拒付赎金,就无法获得解密的方法,无法恢复文件。

推荐使用MCK主机加固系统是从保护数据角度出发,建立一个安全容器,对主机操作系统和业务程序进行加固,杜绝非法数据使用,对操作系统和数据进行保护,杜绝勒索病毒以及其他病毒、黑客的攻击行为。

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 如何有效缓解DDoS攻击?主要的手段有哪些?

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情