成都爱特生信息技术有限公司

业界资讯

倾囊相授DDoS防护六大招
DDoS攻击对于在线业务如同噩梦。从BBC到Twitter,再到川普的网站,去年的网络攻击不绝于耳。 现在高科技产品千变万化,物联网设备备受瞩目,DDoS攻击已经是过去几年的数倍,未来也不容乐观。对于DDoS防护,您需要了解以下知识。
制定应急响应计划
不要等攻击发生后才想起来制定方案。创建一个系统来预防响应潜在的DDoS攻击。虽然无法实现完全处理掉DDoS攻击,但是可以很大程度上减缓风险。有效的行动方案由一下一些内容组成:
应急响应计划
不管网站因为什么宕掉发送告警
防止任何恶意活动,及时清除日志
联系ISP了解免费和付费DDoS防护计划
确定系统DNS TTL (time-to-live)
文档化IT基础架构并采用资产清单创建网络拓扑图
购买DDoS防护产品减少攻击损失
监测流量水平
DDoS攻击会让服务器遭受前所未有的流量,远远超过预期和想象。实际上,对于任何进行攻击的黑客而言理想的时间可能就是类似圣诞节这样,本来就会有大流量的节日。混杂真实流量,将服务器压垮,最终导致服务器崩溃。因此注意到DDoS攻击最佳的途径就是找出网站上的反常流量。如果通常是十分钟500个访客,要是一分钟就有4000个肯定就是不正常的,需要出发告警。设置合适的基线有助于企业远离DDoS攻击。
确保具备额外带宽
更多的带宽比一些看似合理的需求更有意义,因为这些带宽提供了额外的时间来识别和处理攻击。服务器也能因此应对前所未有的流量剧增,而且在某种程度上降低攻击的强度。
如果你拥有200%或600%的带宽,停止DDoS攻击当然是不一定的,但是能够提供重要的减缓攻击的时间资源。
及时升级打补丁
类似WordPress这样德凯园平台要尽快审计,减少攻击风险。潜在的安全漏洞需要升级解决。因此,在网络中尽快部署更新升级。更新和升级拖延的时间越久,系统就越脆弱。这一点也被企业经常忽视,主要在于他们认为更新频率和更新应用程序无关紧要。
主动监测半开放连接
常规三次握手
客户端发送SYN(同步)包到服务器请求连接,
服务器返回SYN-ACK(synchronize-acknowledge)包到客户端,
客户回复ACK(承认)表示接收到包和通信开始。
半开连接中,数据包来源于恶意客户端。客户端使用伪造IP地址向服务器发送多个请求址。这样的连接没有关闭,仍然打开使它容易受到攻击。
半开连接检测:
添加一个空的keepalive消息到应用程序协议框架
添加一个NULL keepalive消息到实际应用协议框架
使用一个显式的计时器
修改TCP keepalive设置
购买高防
购买高防服务是作为专服务器的最后一级防线,可以利用云商的高防服务来减少缺乏DDoS保护所造成的损失。不过缺点是:高防价格较贵。
如果觉得这些过于复杂,并且高防的价格又不是你能承受的,欢迎随时联系我们,我们的星云神盾作为高性价比的防DDoS流量攻击方案,可免费试用,试用觉得满意再正式使用!更多信息请访问www.etesn.com