На этой статье я расскажу о 15 вещах против DDoS-атак.
DDoS-атаки, в основном, по двум категориям: атак с с истощением пропускной способности и атаками исчерпания ресурсов, чтобы эффективно сдерживать эти два типа атак, вы можете следовать шагам, перечисленным в этой статье
Чтобы бороться с атаками DDoS (распределенный отказ в обслуживании), вам необходимо иметь четкое представление о том, что произошло при атаке.
Проще говоря, DDoS-атаки с использованием уязвимостей сервера или ресурсов (таких как память, потребление жесткого диска на сервере и т. д.) для достижения этой цели.
Чтобы реализовать это, выполните следующие действия:
- Если источником атаки является только несколько компьютеров, и вы указали IP-адреса этих источников, вы помещаете ACL (список контроля доступа) на сервер брандмауэра, чтобы заблокировать этот доступ с этих IP-адресов. Если возможно, измените IP-адрес веб-сервера в течение определенного периода времени, но если злоумышленник разрешит ваш вновь настроенный IP-адрес путем запроса вашего DNS-сервера, это уже недействительное решение.
- Если вы уверены, что атака исходит из конкретной страны, подумайте о блокировке IP-адреса из этой страны, по крайней мере, на некоторое время.
- Мониторинг входящего сетевого трафика. Таким образом, вы можете узнать, кто посещает вашу сеть и может контролировать исключения для посетителей, что впоследствии может анализировать журнал и исходный IP-адрес. Перед крупномасштабной атакой злоумышленник мог использовать небольшое количество атак для проверки надежности вашей сети.
- Наиболее эффективным (и дорогостоящим) решением для атак с пропускной способностью является покупка большей пропускной способности.
- Вы также можете использовать высокопроизводительное программное обеспечение для балансировки нагрузки, использование нескольких серверов и развертывание в разных центрах обработки данных.
- Использование балансировки нагрузки для веб-ресурсов и других ресурсов, а также использование той же стратегии защиты DNS.
- Оптимизируйте использование ресурсов для повышения пропускной способности веб-сервера. Например, при использовании apache можно установить плагин apachebooster, плагин иvarnish и интеграцию nginx, вы можете иметь дело с внезапным увеличением трафика и объема памяти.
- Использование высоко масштабируемых DNS-устройств для защиты DDOS-атак по DNS. Рассмотрим коммерческое решение для Cloudflare, которое может обеспечить защиту от DDOS-атаки для DNS или TCP / IP от уровня 3 до уровня 7.
- Включите функцию IP-спуфинга маршрутизатора или брандмауэра. Брандмауэр CISCO ASA в конфигурации функции, чем в маршрутизаторе, более удобен. Включите эту функцию в ASDM (Cisco Adaptive Security Device Manager), нажав «Брандмауэр» в «Конфигурации», выбрав «anti-spoofing» и нажав Enable. Вы также можете использовать ACL (список управления доступом) в маршрутизаторе для предотвращения подмены IP-адресов, сначала для сети, чтобы создать ACL, а затем применить к интернет-интерфейсу.
- Использование сторонних служб для защиты вашего сайта. Многие компании имеют такие услуги, предоставляя высокопроизводительные базовые сетевые средства, которые помогут вам противостоять атакам отказа в обслуживании. Вам нужно только заплатить сотни долларов в месяц на линии.
- Обратите внимание на конфигурацию безопасности сервера, чтобы избежать атак DDOS.
- Послушайте мнения экспертов про нападения заранее, чтобы ответить на чрезвычайную ситуацию должным образом.
- Мониторинг сети и веб-трафика. Если можно настроить несколько инструментов анализа, таких как Statcounter и Google analytics, вы можете более визуально понять структуру изменений трафика и получить от него больше информации.
- Чтобы защитить DNS, чтобы избегайте атак усиления DNS.
- Отключите ICMP на маршрутизаторе. Открывайте ICMP только тогда, когда требуется тестирование.