倾囊相授DDoS防护十二式

DDoS攻击对于在线业务如同噩梦。从BBC到Twitter，再到川普的网站，去年的网络攻击不绝于耳。 现在高科技产品千变万化，物联网设备备受瞩目，DDoS攻击已经是过去几年的数倍，未来也不容乐观。当下，企业要在高度发达的互联网世界中谨慎工作，中盈优创旗下安全品牌云端卫士有一些方式可以进行DDoS防护。

制定应急响应计划

不要等攻击发生后才想起来制定方案。创建一个系统来预防响应潜在的DDoS攻击。虽然无法实现完全处理掉DDoS攻击，但是可以很大程度上减缓风险。有效的行动方案由一下一些内容组成：

应急响应计划

• 不管网站因为什么宕掉发送告警

• 防止任何恶意活动，及时清除日志

• 联系ISP了解免费和付费DDoS防护计划

• 确定系统DNS TTL (time-to-live)

• 文档化IT基础架构并采用资产清单创建网络拓扑图

• 购买DDoS防护产品减少攻击损失

• ……

监测流量水平

DDoS攻击会让服务器遭受前所未有的流量，远远超过预期和想象。实际上，对于任何进行攻击的黑客而言理想的时间可能就是类似圣诞节这样，本来就会有大流量的节日。混杂真实流量，将服务器压垮，最终导致服务器崩溃。因此注意到DDoS攻击最佳的途径就是找出网站上的反常流量。如果通常是十分钟500个访客，要是一分钟就有4000个肯定就是不正常的，需要出发告警。设置合适的基线有助于企业远离DDoS攻击。

关注连接设备

物联网是现在的热门话题。从可穿戴设备到零售、医疗等等，物联网影响着每一个领域，但是这种迅速增长的技术也被攻击者纳入囊中。黑客会找到自己的方式用这些连接设备破坏服务。关注这些连接设备有助于度过DDoS劫难。健壮的DDoS防护需要定期更改设备密码，不使用时切断设备。

确保具备额外带宽

更多的带宽比一些看似合理的需求更有意义，因为这些带宽提供了额外的时间来识别和处理攻击。服务器也能因此应对前所未有的流量剧增，而且在某种程度上降低攻击的强度。

如果你拥有200%或600%的带宽，停止DDoS攻击当然是不一定的，但是能够提供重要的减缓攻击的时间资源。

明显攻击源头丢包

DDoS攻击有可能对业务造成极大破坏，需要不惜任何代价停止这些错误来源的流量。注意访问列表边界，防止恶意活动。此外命令路由器丢掉明显的IP攻击源头的数据包。可以限制路由器速率加多一层保护。攻击的规模越来越大，这个策略只能拖延时间和延迟威胁的增加。

购买专属服务器

购买一个专用的主机服务器将提供更多的带宽、控制安全和无数的资源。专用服务器作为第一层防线，可以成功运行企业网站与成千上万的合法的客户。无疑专用服务器成本较高，但带来的好处明显大于由于缺乏DDoS保护所造成的损失。我们的DDoS防护专属服务器提供了多达80 Gbps的防护能力，同时提供其他的选择。

锁定伪造IP地址

防止伪造IP地址导致的DDoS攻击需要关注一些内容：

• 创建访问控制列表(ACL)用一个特定的源IP拒绝所有入站流量。

• 关注使用反向路径转发(RPF)或IP验证。它的工作原理类似于一个反垃圾邮件解决方案。

• 过滤出站和入站流量提高DDoS保护。

• 改变交换机和路由器的配置，从而自动拒绝外部网络的数据包。

• 加密路由器上的不同会话，允许受信任的主机外部网络。

及时升级打补丁

类似WordPress这样德凯园平台要尽快审计，减少攻击风险。潜在的安全漏洞需要升级解决。因此，在网络中尽快部署更新升级。更新和升级拖延的时间越久，系统就越脆弱。这一点也被企业经常忽视，主要在于他们认为更新频率和更新应用程序无关紧要。

主动监测半开放连接

常规三次握手

• 客户端发送SYN(同步)包到服务器请求连接，

• 服务器返回SYN-ACK(synchronize-acknowledge)包到客户端，

• 客户回复ACK(承认)表示接收到包和通信开始。

半开连接中，数据包来源于恶意客户端。客户端使用伪造IP地址向服务器发送多个请求址。这样的连接没有关闭，仍然打开使它容易受到攻击。

半开连接检测：

• 添加一个空的keepalive消息到应用程序协议框架

• 添加一个NULL keepalive消息到实际应用协议框架

• 使用一个显式的计时器

• 修改TCP keepalive设置

采用代理防护

代理防护提供了一个额外DDoS保护层，让你的网站安全远离复杂网络威胁。远程DDoS代理保护隐藏客户真实IP，通过自身的缓解网络发送代理流量。整个过程没有网站访问者意识到这一点。此外远程代理防护增加HTTP应用程序的安全性和性能。

设置RST Cookie

RST Cookie是强大的DDoS防御，因为服务器发送错误的ACK+SYN到客户端，然后客户端将数据包转发告诉服务器这个潜在错误。因此可以防止业务发生潜在攻击。

远程黑洞过滤UDP流量

通过远程黑洞过滤UDP流量可以有效地阻止不良流量进入受保护的网络。这些远程黑洞通过区域流量转发，然后丢掉。基于IP地址和目的地检测并丢掉流量。设置的三个步骤：

• 准备一个空的路由

• 准备一个线路图

• 在管理路由器上生成一个受害者路径

如果觉得这些过于复杂，欢迎随时联系云端卫士量身定制适合您的防护解决方案。