防範DDoS攻擊的15個方法

2021-02-13 程序猿

來自:開源中國社區

本文地址:http://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network

原文地址:http://securitywing.com/15-ways-to-stop-ddos-attacks-in-network/

為了對抗 DDoS(分布式拒絕服務)攻擊,你需要對攻擊時發生了什麼有一個清楚的理解. 簡單來講,DDoS 攻擊可以通過利用伺服器上的漏洞,或者消耗伺服器上的資源(例如 內存、硬碟等等)來達到目的。DDoS 攻擊主要要兩大類: 帶寬耗盡攻擊和資源耗盡攻擊. 為了有效遏制這兩種類型的攻擊,你可以按照下面列出的步驟來做:

1、如果只有幾臺計算機是攻擊的來源,並且你已經確定了這些來源的 IP 地址, 你就在防火牆伺服器上放置一份 ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話 將 web 伺服器的 IP 地址變更一段時間,但是如果攻擊者通過查詢你的 DNS 伺服器解析到你新設定的 IP,那這一措施及不再有效了。

2、如果你確定攻擊來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間.

3、監控進入的網絡流量。通過這種方式可以知道誰在訪問你的網絡,可以監控到異常的訪問者,可以在事後分析日誌和來源IP。在進行大規模的攻擊之前,攻擊者可能會使用少量的攻擊來測試你網絡的健壯性。

4、對付帶寬消耗型的攻擊來說,最有效(也很昂貴)的解決方案是購買更多的帶寬。

5、也可以使用高性能的負載均衡軟體,使用多臺伺服器,並部署在不同的數據中心。

6、對web和其他資源使用負載均衡的同時,也使用相同的策略來保護DNS。

7、優化資源使用提高 web server 的負載能力。例如,使用 apache 可以安裝 apachebooster 插件,該插件與 varnish 和 nginx 集成,可以應對突增的流量和內存佔用。

8、使用高可擴展性的 DNS 設備來保護針對 DNS 的 DDOS 攻擊。可以考慮購買 Cloudfair 的商業解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。

9、啟用路由器或防火牆的反IP欺騙功能。在 CISCO 的 ASA 防火牆中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點擊「配置」中的「防火牆」,找到「anti-spoofing」然後點擊啟用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內網創建 ACL,然後應用到網際網路的接口上。

10、使用第三方的服務來保護你的網站。有不少公司有這樣的服務,提供高性能的基礎網絡設施幫你抵禦拒絕服務攻擊。你只需要按月支付幾百美元費用就行。

11、注意伺服器的安全配置,避免資源耗盡型的 DDOS 攻擊。

12、聽從專家的意見,針對攻擊事先做好應對的應急方案。

13、監控網絡和 web 的流量。如果有可能可以配置多個分析工具,例如:Statcounter 和 Google analytics,這樣可以更直觀了解到流量變化的模式,從中獲取更多的信息。

14、保護好 DNS 避免 DNS 放大攻擊。

15、在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連接超時,垃圾包丟棄,來源偽造的數據包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。

最後多了解一些 DDOS 攻擊的類型和手段,並針對每一種攻擊制定應急方案。

來自:開源中國社區

本文地址:http://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network

原文地址:http://securitywing.com/15-ways-to-stop-ddos-attacks-in-network/

推薦幾個不錯的公眾號


IT創業網 (chuangyetech

網際網路創業的時代,創業更具人文氣息。聚最經典的IT創業技巧,最頂尖的商界精英交流平臺!


IT電商網 (itdianshang

報導熱點電商資訊,分享有價值的電商營銷案例!


最精彩iPhone (iPhoneMost

iPhone技巧精選!


長按指紋→識別圖中二維碼添加關注

●本文編號948,以後想閱讀這篇文章直接輸入948即可。

●本文分類「黑客」,搜索分類名可以獲得相關文章。

●輸入m可以獲取到全部文章目錄

●輸入r可以獲取到熱門文章推薦

●輸入f可以獲取到全部分類名稱

相關焦點

  • 防範 DDoS 攻擊的 15 個方法
    為了對抗 DDoS(分布式拒絕服務)攻擊,你需要對攻擊時發生了什麼有一個清楚的理解. 簡如果可能的話 將 web 伺服器的 IP 地址變更一段時間,但是如果攻擊者通過查詢你的 DNS 伺服器解析到你新設定的 IP,那這一措施及不再有效了。2. 如果你確定攻擊來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間.3、監控進入的網絡流量。通過這種方式可以知道誰在訪問你的網絡,可以監控到異常的訪問者,可以在事後分析日誌和來源IP。
  • DDOS 攻擊的防範教程
    DDOS 不是一種攻擊,而是一大類攻擊的總稱。它有幾十種類型,新的攻擊方法還在不斷發明出來。網站運行的各個環節,都可以是攻擊目標。只要把一個環節攻破,使得整個流程跑不起來,就達到了癱瘓服務的目的。其中,比較常見的一種攻擊是 cc 攻擊。它就是簡單粗暴地送來大量正常的請求,超出伺服器的最大承受量,導致宕機。
  • DDoS Deflate - 用於阻止DDoS攻擊的Shell腳本
    如果您對拒絕服務攻擊一無所知,請閱讀以下維基百科文章:工作原理:它使用netstat命令跟蹤並監視所有連接到伺服器的IP位址。只要它檢測到來自單個節點的連接數超過配置文件中定義的某個預測試限制,腳本就會根據配置自動通過IP表或APF阻止該IP位址。它利用下面的命令創建連接到伺服器的IP位址列表以及它們的總連接數。
  • 如何有效防護DDoS攻擊
    卡巴斯基實驗室的一份報告顯示,近年來時間最長的DDoS攻擊之一發生在2018年1月,它持續了將近300個小時。在早期階段檢測正在進行的攻擊可以幫助你減輕其後果。但是,你可以採取適當的預防措施來防範DDoS攻擊,使攻擊者更難淹沒或破壞你的網絡。無論你是想創建自己的有效防護DDoS攻擊的解決方案,還是要為Web應用程式尋找商業化的DDoS攻擊防護系統,都要牢記以下一些基本系統要求:混合DDoS檢測方法。
  • 伺服器預防DDoS攻擊的方法
    8月25日晚,錘子「堅果手機」發布會因故推遲、PPT一堆錯漏、搶紅包故障,據悉是因錘子官網伺服器遭遇了數十G流量DDoS惡意攻擊,現場PPT也是臨時趕製、邊寫邊用,好端端的一場發布會被DDoS攻擊搞的狼狽不堪。
  • 從地震防護看如何防範DDoS攻擊
    逝者已往矣,地震之後我們「痛定思痛」,如何防範地震、如何減少地震損失已成為大家首先要考慮的問題。而對於大多數網際網路企業來說,DDoS攻擊對他們造成的損失不亞於一場地震給震區帶來的傷害。防攻擊和抗地震有很多相通之處,以下從地震的防護經驗來談一下如何防範DDoS攻擊:  一是提高對危機的事先預測能力。眾所周知,地震預測是科學界的一大難題。
  • 一文了解如何有效的防護DDoS攻擊
    DDoS攻擊可以持續數百小時DDoS攻擊可能持續幾分鐘、幾小時、甚至是幾天。卡巴斯基實驗室的一份報告顯示,近年來時間最長的DDoS攻擊之一發生在2018年1月,它持續了將近300個小時。例如,早在2016年,攻擊者利用輕型目錄訪問協議(LDAP)發起了放大係數高達55的攻擊。現在讓我們談談檢測DDoS攻擊的方法。
  • 什麼是DDoS攻擊
    關聯微信群,請回復公眾號:微信群關聯QQ群:16004488看ADS如何治癒ddos
  • DDoS攻擊愈演愈烈,看思科Talos如何層層剖析中國的DDoS即服務行業
    這些網站中有很多在布局和設計上幾乎完全相同:它們的界面非常簡單,用戶可以在上面選擇目標主機、目標埠、攻擊方法和攻擊的持續時間。另外一點引人注意的是,這些網站大多是在過去 6 個月內註冊的,但網站的運營者和註冊者各不相同。思科 Talos 甚至發現,這些網站的管理者會互相發動攻擊。
  • 壓力測試軟體+原始碼+編譯教程,附DDOS攻擊解決方案
    ,udp攻擊技術並沒有太大的進步,Cc攻擊有技巧,發展出來dns攻擊等,本文介紹軟體最終如何進行壓力測試給出方式方法。DarkShell攻擊器界面DarkShell的功能:從下面幾幅圖中,我們可以看到,DarkShellddos攻擊器具有UDP/TCP/ICMP/SYN/ACK/傳奇登陸攻擊/DNS巡迴攻擊/HTTP GET/無限CC/循環CC/循環下載文件 最新添加破防模式等多達12大類攻擊模式。且支持多模式同時攻擊!
  • DDOS攻擊如何防禦
    流量攻擊是消耗網絡帶寬或使用大量數據包淹沒一個或多個路由器、伺服器和防火牆;帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數據包被傳送到特定目的地;為了使檢測更加困難,這種攻擊也常常使用源地址欺騙,並不停地變化,這種攻擊形式需要通過第三方抗ddos服務(阿里雲、百度雲抗、騰訊雲),可以實現防禦。
  • 在Linux上使用netstat命令查證DDOS攻擊的方法
    導讀DOS攻擊或者DDOS攻擊是試圖讓機器或者網絡資源不可用的攻擊這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行,信用卡支付網管,甚至根域名伺服器。伺服器出現緩慢的狀況可能由很多事情導致,比如錯誤的配置,腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
  • 用cloudflare這套防護策略,防ddos及Cc攻擊都很好
    最近我遇到的攻擊,是我做網站十多年來遇到的最大的一次。從統計數據來看,ddos峰值達到了480G,cc攻擊的時候並發量達到了280萬,帶寬消耗超過200M,預計對方手裡控制了30-40萬的肉雞。早上的時候,有個做高防的商家聯繫我說他家的高防產品不錯,當我把我的數據報給他後,他直接回復我說做不了。可見這樣的攻擊規模有多大。
  • 網站被DDOS攻擊怎麼處理?
    DdoS 攻擊是利用一批受控制的機器向一臺機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果 說以前網絡管理員對抗 Dos可以採取過濾 IP 地址方法的話, 那麼面對當前 DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防範網站被 DdoS攻擊就變得更加困難了,如何採取措施有效的應對呢?下面我們從預防著個方面進行介紹。
  • 免費DDOS攻擊測試工具大合集
    DoS(Denial Of Service)攻擊是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰(關於DDoS更多認識請點擊這裡)。然而隨著網絡上免費的可用DDOS工具增多,Dos攻擊也日益增長,下面介紹幾款Hacker常用的Dos攻擊工具。
  • 教你幾點防DDOS攻擊
    (2)在骨幹節點配置防火牆 防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。
  • DDOS攻擊方法與工具
    攻擊工具與方法:LOIC同樣可以發起此種攻擊,如果你選擇 「TCP」的攻擊模式,便會執行PSH+ACK flood 。攻擊工具與方法   Tsunami 首先需要先收集提供遞歸查詢服務的DNS伺服器./tsunami -o recursive_dns.txt -l 4 -e 172.0.0.0/8 然後可以執行攻擊了.
  • 一文讀懂「DDos攻擊」,看看它該如何防範?
    網際網路快速發展,網絡安全問題更加突出,網絡攻擊的方式也越來越多樣,DDos攻擊因其難以防範、難以追蹤成為最難解決的網絡安全問題之一,給網絡社會帶來了極大的危害,本期我們就來剖析一下「DDos攻擊」,看看它該怎麼防。
  • DDOS攻擊檢測
    引 言 進入2000年以來,網絡遭受攻擊事件頻頻發生,全球許多著名網站如yahoo、cnn、buy.com、ebay、fbi等等,包括中國的新浪網也相繼遭到不名身份的黑客攻擊,值得注意的是,在這些攻擊行為中,黑客摒棄了以往常常採用的更改主頁這一對網站實際破壞性有限的做法,取而代之的是,在一定時間內,徹底使受攻擊的網站喪失正常服務功能,這種攻擊手法為 DDoS,即分布式拒絕服務攻擊
  • 防範勒索軟體攻擊的六個行動
    Gartner的高級分析師Paul Webber說:「在最近的一些勒索軟體攻擊案例中,受害組織向攻擊者支付了巨額贖金,這可能是這種攻擊越來越猖獗的原因之一。相反,如果組織希望減少勒索軟體引起的損失,需要專注於準備和早期應對。」CISO和安全領導人可以採用應對計劃來降低勒索軟體攻擊的可能性,減小漏洞暴露面,並保護組織的安全。這項計劃須涵蓋以下六個行動。