Chinaunix首页 | 论坛 | 博客
  • 博客访问: 94757
  • 博文数量: 250
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 2510
  • 用 户 组: 普通用户
  • 注册时间: 2022-03-15 14:38
文章分类

全部博文(250)

文章存档

2023年(65)

2022年(185)

我的朋友

分类: 服务器与存储

2022-04-04 18:13:20

  • 网络层 DDoS 防御

  1. 限制单 IP 请求频率。

  2. 网络架构上做好优化,采用负载均衡分流。

  3. 防火墙等安全设备上设置禁止 ICMP 包等。

  4. 通过 DDoS 硬件防火墙的数据包规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术对异常流量进行清洗过滤。

  5. 采用 ISP 近源清洗,使用电信运营商提供的近源清洗和流量压制,避免全站服务对所有用户彻底无法访问。这是对超过自身带宽储备和自身 DDoS 防御能力之外超大流量的补充性缓解措施。

  • 应用层 DDoS 防御

  1. 优化操作系统的 TCP/IP 栈。

  2. 应用服务器严格限制单个 IP 允许的连接数和 CPU 使用时间。

  3. 编写代码时,尽量实现优化并合理使用缓存技术。尽量让网站静态化,减少不必要的动态查询。网站静态化不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于 HTML 的溢出还没出现。

  4. 增加 WAF(Web Application Firewall)设备,WAF 的中文名称叫做 Web 应用防火墙。Web 应用防火墙是通过执行一系列针对 HTTP / HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。

  5. 使用 CDN / 云清洗,在攻击发生时,进行云清洗。通常云清洗厂商策略有以下几步:预先设置好网站的 CNAME,将域名指向云清洗厂商的 DNS 服务器;在一般情况下,云清洗厂商的 DNS 仍将穿透 CDN 的回源的请求指向源站,在检测到攻击发生时,域名指向自己的清洗集群,然后再将清洗后的流量回源。

  6. CDN 仅对 Web 类服务有效,针对游戏类 TCP 直连的服务无效。这时可以使用 DNS 引流 + ADS (Anti-DDoS System) 设备来清洗,还有在客户端和服务端通信协议做处理(如:封包加标签,依赖信息对称等)。


DDoS 攻击究其本质其实是无法彻底防御的,我们能做得就是不断优化自身的网络和服务架构,来提高对 DDoS 的防御能力。

阅读(207) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~