ddos防御服務(wù)器使用的方法:1、采用最新系統(tǒng)��,并打上安全補(bǔ)丁��;2��、在服務(wù)器前端加CDN中轉(zhuǎn)��,隱藏服務(wù)器IP地址��;3��、發(fā)送郵件時(shí)通過(guò)第三方代理軟件進(jìn)行發(fā)送��;4��、定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理��;5��、使用海量帶寬清洗攻擊流量��;6��、在防火墻上做阻止策略��,過(guò)濾不必要的服務(wù)和端口��;7��、通過(guò)反向路由器查詢的方法檢查訪問(wèn)者的來(lái)源��。
具體內(nèi)容如下:
1��、持續(xù)更新系統(tǒng)
首先我們就是要保障服務(wù)器軟件沒(méi)有任何安全漏洞��,避免攻擊者入侵��。一定要確定服務(wù)器是采用最新系統(tǒng)��,并打上安全補(bǔ)丁��。在服務(wù)器上刪除未使用的服務(wù)��,關(guān)掉未使用的端口號(hào)��。對(duì)于服務(wù)器上運(yùn)作的網(wǎng)站��,保證其打了最新的補(bǔ)丁��,沒(méi)有網(wǎng)絡(luò)安全問(wèn)題��。因?yàn)?�,只有保證自身安全��,才能讓“敵人”沒(méi)有可趁之機(jī)��。
2��、假如能最好隱藏服務(wù)器IP
可以選擇將所有的域名以及子域名都使用CDN來(lái)解析��,這樣可以隱藏服務(wù)器的真實(shí)IP��,從而也不容易讓服務(wù)器被DDOS攻擊��。不要把域名直接解析到服務(wù)器的真實(shí)IP地址��,不能讓服務(wù)器真實(shí)IP泄漏,服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的CDN一般能防止5G左右的DDOS)��,如果資金充裕的話��,可以購(gòu)買高防的盾機(jī)��,用于隱藏服務(wù)器真實(shí)IP��,域名解析使用CDN的IP��,所有解析的子域名都使用CDN的IP地址��。
此外��,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析��,全部都使用CDN來(lái)解析��?�?傊?�,只要服務(wù)器的真實(shí)IP不泄露��,5G以下小流量DDOS的預(yù)防花不了多少錢��,免費(fèi)的CDN就可以應(yīng)付得了��。如果攻擊流量超過(guò)10G��,那么免費(fèi)的CDN可能就頂不住了��,需要購(gòu)買一個(gè)高防的盾機(jī)來(lái)應(yīng)付了��,而服務(wù)器的真實(shí)IP同樣需要隱藏��。
3��、發(fā)送郵件要小心
一般情況下��,服務(wù)器對(duì)外傳送信息會(huì)泄漏IP��,因此��,大家最好別用服務(wù)器來(lái)大量發(fā)送郵件��。假如一定要發(fā)送郵件��,可以通過(guò)第三方代理軟件進(jìn)行發(fā)送��,這樣顯示出來(lái)的IP是代理IP,也不容易暴露服務(wù)器真實(shí)IP��。
另外��,現(xiàn)在80%以上的網(wǎng)絡(luò)攻擊都是從一封釣魚郵件開(kāi)始的��。因而��,除了不要“明目張膽”的發(fā)送郵件外��,對(duì)于��,來(lái)路不明的郵件��、文件以及鏈接也不要輕易的點(diǎn)擊��,以防招來(lái)麻煩��。
4��、實(shí)時(shí)監(jiān)控��,定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)��,清查可能存在的安全漏洞��,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理��。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬��,是黑客利用的最佳位置��,因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的��。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)��,所以定期掃描漏洞就變得更加重要了��。
5��、利用海量帶寬清洗攻擊流量
傳統(tǒng)高防服務(wù)器存在著很多防御能力弱��、價(jià)格昂貴等缺陷��,葵芳等IDC服務(wù)商��,著力開(kāi)發(fā)新型高防服務(wù)器��,并成功推出市場(chǎng)��。新型高防服務(wù)器租用��,是從根源上與傳統(tǒng)高防服務(wù)器區(qū)別開(kāi)來(lái)。
傳統(tǒng)高防服務(wù)器是依靠機(jī)房提供的硬件防火墻實(shí)現(xiàn)防御��,完全依賴機(jī)房提供的帶寬來(lái)緩解DDoS攻擊帶來(lái)的超大流量��,由于國(guó)際帶寬昂貴��,因此無(wú)法提供更高的防御能力��。
6��、過(guò)濾不必要的服務(wù)和端口
過(guò)濾不必要的服務(wù)和端口��,即在路由器上過(guò)濾假IP��。只開(kāi)放服務(wù)端口成為很多服務(wù)器的流行做法��,例如WWW服務(wù)器那么只開(kāi)放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略��。
7��、檢查訪問(wèn)者的來(lái)源
使用UnicastReversePathForwarding等通過(guò)反向路由器查詢的方法檢查訪問(wèn)者的IP地址是否是真��,如果是假的��,它將予以屏蔽��。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來(lái)自何處��。因此��,利用UnicastReversePathForwarding可減少假IP地址的出現(xiàn)��,有助于提高網(wǎng)絡(luò)安全性��。
