2020年上半年网络攻击多集中在DDOS方面。一般来说,DDOS攻击主要是通过消耗服务器的内存,CPU资源使得服务器出现死机,断网的情况。针对不同的DDOS类型(SYN flood,ssl flood,udp food,DNS flood)需用用到不同的防御方法,总的来说有以下几种。
1、知道服务器IP可以在防火墙服务器设置ACL(访问控制列表) 来阻断某些IP的访问。
ACL由一系列的表项组成,我们称之为接入控制列表表项(Access Control Entry:ACE)。每个接入控制列表表项都申明了满足该表项的匹配条件及行为。在设置访问列表规则可以针对数据流的源目MAC、源目IP地址、TCP/UDP上层协议,时间区域等信息做对应阻断。
2、对于带宽消耗型攻击,最有效的办法那就是增加带宽。
服务器带宽每时每刻都需要用到,在遇到攻击时提高带宽后也可以后期再降速。
3、提高服务器的服务能力,增加负载均衡,多地部署等。
负载均衡后可在多个实例间自动分配应用程序的对外服务能力,通过消除单点故障提升应用系统的可用性,实现更高水平的应用程序容错能力,从而无缝提供分配应用程序流量所需的负载均衡容量,保证服务器稳定高效。
4、优化资源使用提高Web Server的负载能力。
例如,使用 apache 可以安装 ApacheBooster 插件,该插件与 varnish 和 nginx 集成,可以应对突增的流量和内存占用。(推荐:如何判断服务器“80端口”是否可用 )
5、使用高防CDN。
高防cdn是通过高防DNS来实现的,目的是为了更好的服务网络。高防cdn通过智能化的系统判断来路,再反馈给用户,可以减轻用户使用过程的复杂程度。通过智能DNS解析,能让网站访问者连接到响应的服务器上,以避免某个服务器因访问者过多而瘫痪。
6、启用路由器或防火墙的反IP欺骗功能。
侵入过滤或包过滤传入的IP,从体制外的使用技术是一种有效方式,防IP地址欺骗,因为这种技术可以判断如果数据包是来自内部或外部的制度。 因此,路由器出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动攻击。(可能你想知道:windos7系统的服务器如何配置机房IP地址)
7、监控网络和web的流量。
时刻观察流量变化,在正常工作时间段流量如果突然增大就需要马上检查服务器,开启防火墙,避免流量不正常导致业务受到影响。