如何保護你的網絡
正如你所見,DDoS攻擊五花八門,防不勝防,當你想建立一個防御系統對抗DDoS的時候,你需要掌握這些攻擊的變異形態。
最笨的防御方法,就是花大價錢買更大的帶寬。拒絕服務就像個游戲一樣。如果你使用10000個系統發送1Mbps的流量,那就意味著你輸送給你 的服務器每秒鐘10Gb的數據流量。這就會造成擁堵。這種情況下,同樣的規則適用於正常的冗余。這時,你就需要更多的服務器,遍布各地的數據中心,和更好 的負載均衡服務了。將流量分散到多個服務器上,幫助你進行流量均衡,更大的帶寬能夠幫你應對各種大流量的問題。但現代的DDoS攻擊越來越瘋狂,需要的帶 寬越來越大,你的財政狀況根本不允許你投入更多的資金。另外,絕大多數的時候,你的網站並不是主要攻擊目標,很多管理員都忘了這一點。
網絡中最關鍵的一塊就是DNS服務器。將DNS解析器處於開放狀態這是絕對不可取的,你應當把它鎖定,從而減少一部分攻擊風險。但這樣做了以後,我們的服務器就安全了 嗎?答案當然是否定的,即使你的網站,沒有一個可以鏈接到你的DNS服務器,幫你解析域名,這同樣是非常糟糕的事情。大多數完成注冊的域名需要兩個DNS 服務器,但這遠遠不夠。你要確保你的DNS服務器以及你的網站和其他資源都處於負載均衡的保護狀態下。你也可以使用一些公司提供的冗余 DNS.比如,有很多人使用內容分發網絡(分布式的狀態)給客戶發送文件,這是一種很好的抵御DDoS攻擊的方法。若你需要,也有很多公司提供了這種增強 DNS的保護措施。
若是你自己管理你的網絡和數據,那麼就需要著重保護你的網絡層,要進行很多配置。首先確保你所有的路由器都能夠屏蔽垃圾數據包,剔除掉一些不用的協議,比如ICMP這種的。然後設置好防火牆。 很顯然,你的網站永遠不會讓隨機DNS服務器進行訪問,所以沒有必要允許UDP 53端口的數據包通過你的服務器。此外,你可以讓你的供應商幫你進行一些邊界網絡的設置,阻止一些沒用的流量,保證你能夠得到一個最大的最通暢的帶寬。很 多網絡供應商都給企業提供這種服務,你可以與其網絡運營中心聯系,讓他們幫你優化流量,幫你監測一下你是否到了攻擊。
類似Syn的攻擊,也有很多方法來阻止,比如通過給TCP積壓,減少Syn-Receive定時器,或者使用Syn緩存等等。
最後,你還得想想如何在這些攻擊到達你網站前就將它們攔截住。例如,現代網站應用了許多動態資源。在受到攻擊的時候其實帶寬是比較容易掌控的, 但最終往往受到損失的是數據庫或是你運行的腳本程序。你可以考慮使用緩存服務器提供盡可能多的靜態內容,還要快速用靜態資源取代動態資源並確保檢測系統正 常運行。