如果網站被DDoS攻擊,如何保護服務器安全?-優幫雲
首頁> 行業資訊>如果網站被DDoS攻擊,如何保護服務器安全?

如果網站被DDoS攻擊,如何保護服務器安全?

發布時間:2019-12-13 18:20:00     來源: 優幫雲

DDoS防禦服務器是中國較好的防禦機房,它可以忽略所有CC攻擊,在數秒內解決DDoS攻擊,提供更高的安全性,並提供T級集群防禦。

BGP多線高防護機房、中國聯通雙線雙IP真機房、單線高防護機房。

一、無法打開網站。這一功能主要表現為:Web服務器提供網頁瀏覽、上傳等服務變得很慢或無法再提供服務。但也可能是網站帶寬或其他原因,所以需要結合其他症狀來判斷。

二、CPU過載。如果站長發現原來正常的服務器占用了大量的CPU和內存,CPU長期處於100%的狀態,很可能是DDoS造成的。

三、網絡被阻塞。如果網絡上有大量非法數據包或偽造數據包,這也是DDoS的症狀之一。比較典型的情況是同一IDC下的多個網站無法訪問。這是因為巨大而難以想象的數據流入整個IDC入口節點,導致IDC被DDoS擊倒,導致整個IDC下的所有網站都無法訪問並停止服務。

四、經常被攻擊。如果受到DDoS攻擊,特別是當CPU處於100%利用率的高風險時,服務器將重複重啟。

判斷服務器是否遭遇DDoS是基於多個方向的。如果存在症狀並且它們相互關聯,那麽我們可以定位DDoS攻擊以確定DDoS攻擊的類型並構建防禦係統。在選擇服務器時要仔細檢查機房的安全防護。例如,香港機房的超大流量黑洞清洗係統和一流的防火牆用於租用服務器,可以有效地防止各種DDoS攻擊。另外,我們建議優先租用虛擬機,這樣可以有效防止DDoS惡意攻擊。

五、如何防範服務器上的DDoS攻擊?

1、如果隻有少數計算機是攻擊源,並且您已確定這些源的IP地址,則您將在防火牆服務器上放置一個ACL(訪問控製列表),以阻止從這些IP地址進行訪問。如果可能,請在一段時間內更改web服務器的IP地址,但如果攻擊者通過查詢DNS服務器解析為新設置的IP,則此措施不再有效。

2、如果您確定攻擊來自某個特定國家,則可以考慮在至少一段時間內阻止該國家的IP

3、監視傳入的網絡流量。這樣,您就可以知道誰在訪問您的網絡,監視異常訪問者,並在事件發生後分析日誌和源IP。在進行大規模攻擊之前,攻擊者可能會使用少量攻擊來測試網絡的健壯性。

4、對於帶寬消耗攻擊,比較有效(也是比較昂貴)的解決方案是購買更多的帶寬。

5、您還可以使用高性能負載平衡軟件,使用多個服務器,並將它們部署在不同的數據中心。

6、對web和其他資源使用負載平衡時,使用相同的策略來保護DNS。

7、優化資源利用,提高web服務器的負載能力。例如,可以使用Apache安裝Apache booster插件,該插件與varnish和nginx集成,以應對流量和內存消耗的突然增加。

8、使用高度可擴展的DNS設備保護針對DNS的DDoS攻擊。考慮購買cloudfair的商業解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護。

9、啟用路由器或防火牆的防IP欺騙功能。在Cisco的ASA防火牆中配置此功能比在路由器中更方便。要在ASDM(Cisco adaptive security device manager)中啟用此功能,隻需單擊configuration中的firewall,找到anti-spoofing,然後單擊enable。ACL(訪問控製列表)也可用於路由器以防止IP欺騙。ACL首先為intranet創建,然後應用於Internet接口。

10、使用第三方服務來保護您的網站。很多公司都有這樣的服務,提供高性能的基礎設施來幫助您抵禦拒絕服務攻擊。你一個月隻需付幾百美元。

11、注意服務器的安全配置,避免資源耗盡的DDoS攻擊。

12、聽從專家的建議,提前準備攻擊應急預案。

13、監控網絡和網絡流量。如果可能,您可以配置多個分析工具,如StatCounter和Google Analytics,這樣您可以更直觀地了解流量變化的模式,並從中獲取更多信息。

14、禁用路由器上的ICMP。僅在需要測試時打開ICMP。在配置路由器時,還應考慮以下策略:流控製、包過濾、半鏈接超時、垃圾包丟棄、源偽造包丟棄、syn閾值、禁用ICMP和UDP廣播。

  • 波浪
  • 波浪