DDoS攻擊對于在線業(yè)務(wù)如同噩夢。從BBC到Twitter，再到川普的網(wǎng)站，去年的網(wǎng)絡(luò)攻擊不絕于耳。 現(xiàn)在高科技產(chǎn)品千變?nèi)f化，物聯(lián)網(wǎng)設(shè)備備受矚目，DDoS攻擊已經(jīng)是過去幾年的數(shù)倍，未來也不容樂觀。當下，企業(yè)要在高度發(fā)達的互聯(lián)網(wǎng)世界中謹慎工作，中盈優(yōu)創(chuàng)旗下安全品牌云端衛(wèi)士有一些方式可以進行DDoS防護。

制定應(yīng)急響應(yīng)計劃

不要等攻擊發(fā)生后才想起來制定方案。創(chuàng)建一個系統(tǒng)來預(yù)防響應(yīng)潛在的DDoS攻擊。雖然無法實現(xiàn)完全處理掉DDoS攻擊，但是可以很大程度上減緩風險。有效的行動方案由一下一些內(nèi)容組成：

應(yīng)急響應(yīng)計劃

不管網(wǎng)站因為什么宕掉發(fā)送告警

防止任何惡意活動，及時清除日志

聯(lián)系ISP了解免費和付費DDoS防護計劃

確定系統(tǒng)DNS TTL (time-to-live)

文檔化IT基礎(chǔ)架構(gòu)并采用資產(chǎn)清單創(chuàng)建網(wǎng)絡(luò)拓撲圖

購買DDoS防護產(chǎn)品減少攻擊損失

……

監(jiān)測流量水平

DDoS攻擊會讓服務(wù)器遭受前所未有的流量，遠遠超過預(yù)期和想象。實際上，對于任何進行攻擊的黑客而言理想的時間可能就是類似圣誕節(jié)這樣，本來就會有大流量的節(jié)日。混雜真實流量，將服務(wù)器壓垮，最終導(dǎo)致服務(wù)器崩潰。因此注意到DDoS攻擊最佳的途徑就是找出網(wǎng)站上的反常流量。如果通常是十分鐘500個訪客，要是一分鐘就有4000個肯定就是不正常的，需要出發(fā)告警。設(shè)置合適的基線有助于企業(yè)遠離DDoS攻擊。

關(guān)注連接設(shè)備

物聯(lián)網(wǎng)是現(xiàn)在的熱門話題。從可穿戴設(shè)備到零售、醫(yī)療等等，物聯(lián)網(wǎng)影響著每一個領(lǐng)域，但是這種迅速增長的技術(shù)也被攻擊者納入囊中。黑客會找到自己的方式用這些連接設(shè)備破壞服務(wù)。關(guān)注這些連接設(shè)備有助于度過DDoS劫難。健壯的DDoS防護需要定期更改設(shè)備密碼，不使用時切斷設(shè)備。

確保具備額外帶寬

更多的帶寬比一些看似合理的需求更有意義，因為這些帶寬提供了額外的時間來識別和處理攻擊。服務(wù)器也能因此應(yīng)對前所未有的流量劇增，而且在某種程度上降低攻擊的強度。

如果你擁有200%或600%的帶寬，停止DDoS攻擊當然是不一定的，但是能夠提供重要的減緩攻擊的時間資源。

明顯攻擊源頭丟包

DDoS攻擊有可能對業(yè)務(wù)造成極大破壞，需要不惜任何代價停止這些錯誤來源的流量。注意訪問列表邊界，防止惡意活動。此外命令路由器丟掉明顯的ip攻擊源頭的數(shù)據(jù)包。可以限制路由器速率加多一層保護。攻擊的規(guī)模越來越大，這個策略只能拖延時間和延遲威脅的增加。

購買專屬服務(wù)器

購買一個專用的主機服務(wù)器將提供更多的帶寬、控制安全和無數(shù)的資源。專用服務(wù)器作為第一層防線，可以成功運行企業(yè)網(wǎng)站與成千上萬的合法的客戶。無疑專用服務(wù)器成本較高，但帶來的好處明顯大于由于缺乏DDoS保護所造成的損失。我們的DDoS防護專屬服務(wù)器提供了多達80 Gbps的防護能力，同時提供其他的選擇。

鎖定偽造IP地址

防止偽造IP地址導(dǎo)致的DDoS攻擊需要關(guān)注一些內(nèi)容：

創(chuàng)建訪問控制列表(ACL)用一個特定的源IP拒絕所有入站流量。

關(guān)注使用反向路徑轉(zhuǎn)發(fā)(RPF)或IP驗證。它的工作原理類似于一個反垃圾郵件解決方案。

過濾出站和入站流量提高DDoS保護。

改變交換機和路由器的配置，從而自動拒絕外部網(wǎng)絡(luò)的數(shù)據(jù)包。

加密路由器上的不同會話，允許受信任的主機外部網(wǎng)絡(luò)。

及時升級打補丁

類似WordPRess這樣德凱園平臺要盡快審計，減少攻擊風險。潛在的安全漏洞需要升級解決。因此，在網(wǎng)絡(luò)中盡快部署更新升級。更新和升級拖延的時間越久，系統(tǒng)就越脆弱。這一點也被企業(yè)經(jīng)常忽視，主要在于他們認為更新頻率和更新應(yīng)用程序無關(guān)緊要。

主動監(jiān)測半開放連接

常規(guī)三次握手

客戶端發(fā)送SYN(同步)包到服務(wù)器請求連接，

服務(wù)器返回SYN-ACK(synchronize-acknowledge)包到客戶端，

客戶回復(fù)ACK(承認)表示接收到包和通信開始。

半開連接中，數(shù)據(jù)包來源于惡意客戶端。客戶端使用偽造IP地址向服務(wù)器發(fā)送多個請求址。這樣的連接沒有關(guān)閉，仍然打開使它容易受到攻擊。

半開連接檢測：

添加一個空的keepalive消息到應(yīng)用程序協(xié)議框架

添加一個NULL keepalive消息到實際應(yīng)用協(xié)議框架

使用一個顯式的計時器

修改TCP keepalive設(shè)置

采用代理防護

代理防護提供了一個額外DDoS保護層，讓你的網(wǎng)站安全遠離復(fù)雜網(wǎng)絡(luò)威脅。遠程DDoS代理保護隱藏客戶真實IP，通過自身的緩解網(wǎng)絡(luò)發(fā)送代理流量。整個過程沒有網(wǎng)站訪問者意識到這一點。此外遠程代理防護增加HTTP應(yīng)用程序的安全性和性能。

設(shè)置RST Cookie

RST Cookie是強大的DDoS防御，因為服務(wù)器發(fā)送錯誤的ACK+SYN到客戶端，然后客戶端將數(shù)據(jù)包轉(zhuǎn)發(fā)告訴服務(wù)器這個潛在錯誤。因此可以防止業(yè)務(wù)發(fā)生潛在攻擊。

遠程黑洞過濾UDP流量

通過遠程黑洞過濾UDP流量可以有效地阻止不良流量進入受保護的網(wǎng)絡(luò)。這些遠程黑洞通過區(qū)域流量轉(zhuǎn)發(fā)，然后丟掉。基于IP地址和目的地檢測并丟掉流量。設(shè)置的三個步驟：

準備一個空的路由

準備一個線路圖

在管理路由器上生成一個受害者路徑

如果覺得這些過于復(fù)雜，歡迎隨時聯(lián)系云端衛(wèi)士量身定制適合您的防護解決方案。