0x01 背景
為了對抗 DDoS(分布式拒絕服務)攻擊,你需要對攻擊時發生了什么有一個清楚的理解.。簡單來講,DDoS 攻擊可以通過利用服務器上的漏洞,或者消耗服務器上的資源(例如 內存、硬盤等等)來達到目的。DDoS 攻擊主要要兩大類: 帶寬耗盡攻擊和資源耗盡攻擊. 為了有效遏制這兩種類型的攻擊,你可以按照下面列出的步驟來做。
0x02 思路
-
如果只有幾台計算機是攻擊的來源,並且你已經確定了這些來源的 IP 地址, 你就在防火牆服務器上放置一份ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話 將 web 服務器的 IP 地址變更一段時間,但是如果攻擊者通過查詢你的 DNS 服務器解析到你新設定的IP,那這一措施及不再有效了。
-
如果你確定攻擊來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間.
-
監控進入的網絡流量。通過這種方式可以知道誰在訪問你的網絡,可以監控到異常的訪問者,可以在事后分析日志和來源IP。在進行大規模的攻擊之前,攻擊者可能會使用少量的攻擊來測試你網絡的健壯性。
-
對付帶寬消耗型的攻擊來說,最有效(也很昂貴)的解決方案是購買更多的帶寬。
-
也可以使用高性能的負載均衡軟件,使用多台服務器,並部署在不同的數據中心。
-
對Web和其他資源使用負載均衡的同時,也使用相同的策略來保護DNS。
-
優化資源使用提高web server的負載能力。例如,使用apache可以安裝apachebooster插件,該插件與varnish和nginx集成,可以應對突增的流量和內存占用。
-
使用高可擴展性的DNS設備來保護針對DNS的DDoS攻擊。可以考慮購買Cloudflare的商業解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護。如果想獲得更多的服務支持(國外的安全服務一般是沒有售后的,如果遇到問題只能提交工單進行解決,效率很低。),可以考慮選擇國內的安全服務商。推薦知道創宇、騰訊雲和阿里雲。
-
啟用路由器或防火牆的反IP欺騙功能。在CISCO的ASA防火牆中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點擊“配置”中的“防火牆”,找到“anti-spoofing”然后點擊啟用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內網創建 ACL,然后應用到互聯網的接口上。
-
使用第三方的服務來保護你的網站。有不少公司有這樣的服務,提供高性能的基礎網絡設施幫你抵御拒絕服務攻擊。你只需要按月支付幾百美元費用就行。
-
注意服務器的安全配置,避免資源耗盡型的 DDoS 攻擊。
-
聽從專家的意見,針對攻擊事先做好應對的應急方案。
-
監控網絡和 web 的流量。如果有可能可以配置多個分析工具,例如:Statcounter 和 Google analytics,這樣可以更直觀了解到流量變化的模式,從中獲取更多的信息。
-
保護好 DNS 避免 DNS 放大攻擊。
-
在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連接超時,垃圾包丟棄,來源偽造的數據包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
最后多了解一些 DDOS 攻擊的類型和手段,並針對每一種攻擊制定應急方案。