怎么有效阻止ddos,中小企业遭遇DDOS该如何缓解呢

这个问题得分两个场景来看网站备案怎么有效阻止ddos,即中小企业到底是使用公有云,还是使用私有云(或者自建服务器),不同的场景解决方案不一样怎么有效阻止ddos,中小企业遭遇DDOS该如何缓解呢首先解释一下什么叫做DDOS。DDOS又叫做分布式拒绝服务攻击,简单的解释一下就是互联网有很多肉鸡同时向你的服务器发动攻击,消耗服务器的有限资源,所以拒绝服务攻击实际上是对你服务器的资源的一个消耗性攻击举一个典型的例子,就是最常见的基于TCP的拒绝服务攻击。假设你公司的服务器对外提供WEB服务,WEB是基于80端口的TCP服务,而一台服务器所支持的TCP的连接性能是有限的,例如可以同时支持10万个TCP连接这时,攻击者从互联网控制1000台主机,每台主机向你发起100个TCP的80端口连接请求,然后不再响应服务器的回应,这时就会出现一个很奇怪的状态:你们公司服务器的10万个连接都被用了,但是这些都是没有后继过程的虚假连接。此时其他正常用户想看你们公司的网页,就会发现看不了,因为没有TCP资源了,这个就是拒绝服务攻击因此从原理上看其实比较明显,要挡住拒绝服务攻击,就要挡住这种虚假的情求和连接。例如采取1个IP只能有2个连接的限制,或者加快删除这种虚假的连接,或者对TCP过程进行序列号校验。这种能够挡住对端攻击的设备,叫做防火墙如果你使用公有云,那么你可用选择公有云上的服务,例如阿里云上就提供了对云服务器的安全保护功能。如果使用阿里云,你可用先评估你网站的安全风险,进行漏洞测试,然后你可用购买云防火墙来保护你的网站阿里云还支持高防IP清洗,这个道理也不难,实际上就是把你的流量先引到专业的DDOS清理集群,把你的网站流量先清洗一遍,把攻击的流量识别并删除后,再送回你真实的服务器,这样就保证服务器被攻击前,攻击流量已经洗掉了如果是企业自建的私有云或者仅仅是企业的单独的服务器需要保护,那就得买专门的Anti-DDoS防火墙。目前华为、山石、迈普、H3C都有这种防火墙设备,性能从百兆到万兆都有,价格也不贵。防止DDOS攻击是很成熟的技术,所有防火墙的标配我们知道,服务器对外提供服务,基本上都是放置在公网上的。所以说服务器放置在公网上会面临很多攻击,如果不做好必要的防护措施,服务器被人攻击只是时间上的问题。而我们面临的众多攻击中,DDoS攻击是最常见同时也是影响较大的攻击。DDoS是分布式拒绝服务攻击,发起攻击者会将很多台电脑联在一起对同一台服务器进行请求。因为每一台服务器其实都是有资源、宽带和计算上的瓶颈的,特别是一些带宽小、内存小、CPU计算能力低的服务器在面临较多请求时,服务器负载瞬间上涨、带宽被占满,导致其它服务器无法处理其它合法用户的正常请求。从本质上说,DDoS带来的请求也是正常请求,所以DDoS防护较难。但是,如果我们把服务器的真实IP隐藏起来,那可以很大程度减小DDoS攻击的可能。有哪些手段可以隐藏服务器真实的IP呢,我觉得主要有以下几种方案:1、禁用服务器ICMP回显响应互联网上的服务器众多,一般情况下我们在公网上的服务器被人发现是要一段时间的,攻击者会通过IP段来扫描存活的机器,一旦扫描到某个IP时有回显,说明此IP是存活的,就会被攻击者记录下来,所以我们要关闭回显功能,这样别人扫描时服务器没有响应,可以避免被人发现。不管是Windows Server还是Linux都可以通过防火墙来关闭ICMP回显功能。* Windows Server 操作方法:控制面板 》查看方式“大图标”》Windows 防火墙 》左侧“高级设置”》入站规则 》找到“文件和打印机共享(回显请求-ICMPv4-In)”和“文件和打印机共享(回显请求-ICMPv6-In)”双击,然后选中“已启用”和“阻止连接”,如下图示:* Linux服务器操作方法:# vi /etc/sysconfig/iptables 添加几条规则,如下图示:2、利用CDN隐藏源站真实IPCDN本来是内容分发用的,主要用来做资源加速的,但是CDN本身上也算是一种代理服务器,所以可以隐藏源站的IP。另外CDN节点都带有一定的防护功能,所以DDoS攻击时,CDN可以帮我们分担很多的流量,这样对于源站影响就较小了。3、使用高防IP通过主防IP转发,这样就能隐藏源服真实IP。以上就是隐藏服务器真实IP的主流方案,大家如果有更好见解欢迎在下方评论区互动哦 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/32546/