DDOS防范建议

DDOS防范建议定义：分布式拒绝服务(DDoS:DistributedDenialofService)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。攻击方式：DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种：1.通过使网络过载来干扰甚至阻断正常的网络通讯；2.通过向服务器提交大量请求，使服务器超负荷；3.阻断某一用户访问服务器；4.阻断某服务与特定系统或个人的通讯。.攻击现象：被攻击主机上有大量等待的TCP连接；网络中充斥着大量的无用的数据包；源地址为假制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求；严重时会造成系统死机。攻击特点分布式拒绝服务攻击采取的攻击手段就是分布式的，在攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。防范：一、主机设置1.关闭不必要的服务2.启用iptables(包过滤软防火墙)并调整内核参数3.限制同时打开的Syn半连接数目4.缩短Syn半连接的timeout时间5.及时更新系统补丁二、网络设置网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时。a.防火墙1.禁止对主机的非开放服务的访问2.限制同时打开的SYN最大连接数3.限制特定IP地址的访问4.启用防火墙的防DDoS的属性5.严格限制对外开放的服务器的向外访问第五项主要是防止自己的服务器被当做肉机工具去攻击别人。b.路由器设置SYN数据包流量速率升级版本过低的ISO为路由器建立logserver建议：由于我们公司服务应用已经涉及到资金交易，为用户提供一个不间断、安全的使用环境，提高用户体验与资金安全，我们需要有效的防止DDOS.我们的服务器主机防护已经设置，由于我们使用的是阿里云服务，网络层设置不能独自加强（不能增加防DDOS的硬件防火墙和路由器）；我们只能购买它们的云盾DDOS高防增值服务。产品定价按月套餐：计费项价格付费方式扣费周期说明峰值带宽20Gb16800/月预付费包月/包年购买的DDoS高防IP防护能力为20Gbps峰值带宽30Gb26800/月预付费包月/包年购买的DDoS高防IP防护能力为30Gbps峰值带宽40Gb46800/月预付费包月/包年购买的DDoS高防IP防护能力为40Gbps峰值带宽50Gb66800/月预付费包月/包年购买的DDoS高防IP防护能力为50Gbps峰值带宽60Gb86800/月预付费包月/包年购买的DDoS高防IP防护能力为60Gbps峰值带宽70Gb136800/月预付费包月/包年购买的DDoS高防IP防护能力为70Gbps峰值带宽80Gb166800/月预付费包月/包年购买的DDoS高防IP防护能力为80Gbps峰值带宽100Gb196800/月预付费包月/包年购买的DDoS高防IP防护能力为100Gbps峰值带宽150Gb246800/月预付费包月/包年购买的DDoS高防IP防护能力为150Gbps峰值带宽200Gb286800/月预付费包月/包年购买的DDoS高防IP防护能力为200Gbps峰值带宽300Gb366800/月预付费包月/包年购买的DDoS高防IP防护能力为300Gbps峰值带宽300Gb联系客服预付费包月/包年购买的DDoS高防IP防护能力大于300Gbps从我们被攻击历史分析我们应该购买30Gb的防护值来防护。云盾DDoS高防配置攻略1、进入【管理控制台】后，左侧栏选择【云盾】，进入云盾产品页面，点击【高防ip】如图-1所示：图-12、选择【高防ip】，在页面右侧会出现您所购买的高防ip列表，选择相应的ip的【安全配置】选项，可进行高防ip的配置和修改，见图-2图-23、点击【安全配置】，可见到两类配置：协议转发设置和CC防护设置，如图-3图-3其中，协议转发设置用于设置端口转发规则，点击【添加】后可进行操作，【转发协议/端口】为设置转发协议类型和高防ip对外开放端口，【源站端口】为被防护服务器的业务端口，【源站ip】为被保护服务器的公网ip；4、若用户服务器为网站类，还可以进行CC防护设置，如图-4所示：图-4点击【确定】后，生成一条CC防护设置，同时在【协议转发设置】中开启CC防护开关见图-5图-5