防御DDoS攻击最直接的方式是减少公开暴露
1、减少公开暴露
对于企业来讲,防御DDoS攻击最直接的方式是减少公开暴露,设置 PSN 网络安全群组和私有网络,及时关闭不用的服务等方式,对于防御网络黑客对于系统的窥探和入侵起了很有效的作用,控制特定 IP 地址的访问,开启防火墙的防 DDoS 的属性等。
2、利用扩展和冗余
DDoS 攻击在不同协议层有不同的攻击方式,因而我们务必选择多重防护措施。使用扩展和冗余可以有备无患,确保系统拥有一定的弹性和可扩展性,保证在 DDoS 攻击期间能够按需使用,特别是系统在多个地理区域同时运行的情况下。一切运行在云中的虚拟机实例都需要保证网络资源可用。
微软提供了域名系统(DNS)和网络负载均衡用于整个的 Azure(微软基于云计算的操作系统),控制流量流的专属云负载均衡由Rackspace 提供。综合 CDN 系统经过多个节点分散流量,防止流量过度集中,还能保证按需缓存,让系统不易碰到DDoS 攻击。
3、充足的网络带宽保证
抗受攻击的能力直接由网络带宽决定,如果仅仅有 10M 带宽的话,不管选用什么措施都很难抵抗当今的 SYN Flood 攻击,最低要求是 100M 的共享带宽, 1000M 的主干上固然是更好的了。但值得注意的是,主机上的网卡是 1000M 的并不代表着它的网络带宽就是千兆的,如果把它接在 100M 的交换机上,它的实际带宽不会高过 100M,再就是连在 100M 的带宽上也不相当于有了百兆的带宽,由于网络服务商可能会把交换机的实际带宽限制为 10M,这点值得注意。
4、分布式服务拒绝 DDoS 攻击
显然分布式资源共享服务器便是指数据和程序允许不在同一个服务器上,可以分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化,克制了传统集中式系统会致使中心主机资源紧张与响应瓶颈的缺陷,分布式数据中心规模愈大,更有可能分散 DDoS 攻击的流量,更能轻易防御攻击。
5、实时监控系统性能
除去上面这些措施,防御DDoS攻击的重要方式还包括系统性能的实时监控。不符合要求的 DNS 服务器配置也会导致系统易受 DDoS 攻击,系统监控可以及时监控系统可用性、API、CDN 和DNS 等第三方服务商性能,监控网络节点,排查可能存在的安全隐患,对新出现的漏洞及时进行清理。主干节点的计算机由于具备较高的带宽,是黑客操纵的最好位置,所以对这些主机加强监控是十分有必要的。
当然最直接的办法还是选择使用网盾的高防服务器。
上一篇: DDoS高防IP是如何确保源站稳定性的?
