防範 DDoS 攻擊的 15 個方法

原文出處： securitywing   譯文出處：OSChina  

爲了對抗 DDoS(分佈式拒絕服務)攻擊，你須要對攻擊時發生了什麼有一個清楚的理解. 簡單來說，DDoS 攻擊能夠經過利用服務器上的漏洞，或者消耗服務器上的資源(例如 內存、硬盤等等)來達到目的。DDoS 攻擊主要要兩大類: 帶寬耗盡攻擊和資源耗盡攻擊. 爲了有效遏制這兩種類型的攻擊，你能夠按照下面列出的步驟來作：

1. 若是隻有幾臺計算機是攻擊的來源，而且你已經肯定了這些來源的 IP 地址, 你就在防火牆服務器上放置一份 ACL（訪問控制列表) 來阻斷這些來自這些 IP 的訪問。若是可能的話 將 web 服務器的 IP 地址變動一段時間，可是若是攻擊者經過查詢你的 DNS 服務器解析到你新設定的 IP，那這一措施及再也不有效了。

2. 若是你肯定攻擊來自一個特定的國家，能夠考慮未來自那個國家的 IP 阻斷，至少要阻斷一段時間.

三、監控進入的網絡流量。經過這種方式能夠知道誰在訪問你的網絡，能夠監控到異常的訪問者，能夠在過後分析日誌和來源IP。在進行大規模的攻擊以前，攻擊者可能會使用少許的攻擊來測試你網絡的健壯性。

四、對付帶寬消耗型的攻擊來講，最有效（也很昂貴）的解決方案是購買更多的帶寬。

五、也可使用高性能的負載均衡軟件，使用多臺服務器，並部署在不一樣的數據中心。

六、對web和其餘資源使用負載均衡的同時，也使用相同的策略來保護DNS。

七、優化資源使用提升 web server 的負載能力。例如，使用 apache 能夠安裝 apachebooster 插件，該插件與 varnish 和 nginx 集成，能夠應對突增的流量和內存佔用。

八、使用高可擴展性的 DNS 設備來保護針對 DNS 的 DDOS 攻擊。能夠考慮購買 Cloudfair 的商業解決方案，它能夠提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。

九、啓用路由器或防火牆的反IP欺騙功能。在 CISCO 的 ASA 防火牆中配置該功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中啓用該功能只要點擊「配置」中的「防火牆」，找到「anti-spoofing」而後點擊啓用便可。也能夠在路由器中使用 ACL（access control list）來防止 IP 欺騙，先針對內網建立 ACL，而後應用到互聯網的接口上。

十、使用第三方的服務來保護你的網站。有很多公司有這樣的服務，提供高性能的基礎網絡設施幫你抵禦拒絕服務攻擊。你只須要按月支付幾百美圓費用就行。

十一、注意服務器的安全配置，避免資源耗盡型的 DDOS 攻擊。

十二、遵從專家的意見，針對攻擊事先作好應對的應急方案。

1三、監控網絡和 web 的流量。若是有可能能夠配置多個分析工具，例如：Statcounter 和 Google analytics，這樣能夠更直觀瞭解到流量變化的模式，從中獲取更多的信息。

1四、保護好 DNS 避免 DNS 放大攻擊。

1五、在路由器上禁用 ICMP。僅在須要測試時開放 ICMP。在配置路由器時也考慮下面的策略：流控，包過濾，半鏈接超時，垃圾包丟棄，來源僞造的數據包丟棄，SYN 閥值，禁用 ICMP 和 UDP 廣播。

最後多瞭解一些 DDOS 攻擊的類型和手段，並針對每一種攻擊制定應急方案。