网盾安全 - 服务器租用、高防IP、云WAf等

值得信赖的互联网安全服务商,最新动态、新的产品促销活动分享,网络安全动态!

如何对ddos异常流量清洗过滤?

发布时间:2020-12-28 14:41:34      来源: 网盾安全      作者: sandy

流量清洗顾名思义就是对网络中存在的异常流量进行清洗,保证正常流量的传输和业务的连续性。主要使用专业流量检测&清洗设备完成这样的工作,检测设备通过流量阈值、报文特征、源IP行为模型等检测机制判定流量是否正常,当确认是异常流量时则联动清洗设备完成引流、清洗、回注的清洗动作,确保网络的可用性。

 

目前国内异常流量清洗领域的最大提供者为三大运营商,同时主流厂家中网盾科技、绿盟、华为名列前茅,其中网盾科技当前单设备处理性能可达百G级别,其他厂家的设备性能相较略低,三大运营商也会与厂家进行合作为客户提供抗D服务的租用。那么,网盾是如何对ddos异常流量清洗过滤呢?

1、过滤不必要的服务和端口

 

过滤不必要的服务和端口,即在路由器上过滤假 IP ,只开放服务端口成为目前很多服务器的流行做法,服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。

 

2、检查访问者的来源

 

使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现,有助于提高网络安全性。

 

3、限制 SYN/ICMP流量

 

用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击,虽然目前该方法对于网站被 DDOS攻击效果不太明显了, 不过仍然能够起到一定的作用。

 

4、定期扫描

 

要预防网站被 DDOS攻击就要定期扫描现有的网络主节点,清查可能存在的安全漏洞, 对新出现的漏洞及时进行清理。 而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

 

5、在骨干节点配置防火墙

 

防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机, 这样可以保护真正的主机不被攻击。 当然导向的这些牺牲主机 可以选择不重要的, 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统

 

6、配置高防IP来抵御DDoS攻击

 

这是一种较为理想的应对策略。如果用户加了高防IP来做防护(可根据攻击量随时升级套餐),在线上业务遭受到DDoS攻击时,将攻击流量引流到高防IP,对ddos异常流量清洗过滤,确保源站的稳定可靠。购买DDoS高防IP服务后,需要把域名解析到高防IP(Web业务把域名解析指向高防IP;非Web业务把业务IP替换成高防IP),并配置源站IP。配置完成后,所有公网流量都将经过高防IP机房,在机房清洗过滤恶意攻击流量,然后将正常流量通过端口协议转发的方式转发到源站IP,从而确保源站IP稳定访问。

 

7、充分利用网络设备保护网络资源

 

死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了网站被 DDoS攻击。

 

网站被 DDoS攻击后是一个非常麻烦的问题,所以必须在网站被 DDoS攻击之前就做好相关的防护措施, 不要造成不必要的损失, 网盾安全高防,提供DDoS异常流量清洗过滤,可全面抵御任何类型的DDoS及CC类型攻击,拥有国内最全病毒特征库样本,为最容易遭受攻击的金融小贷平台、游戏、电商、教育培训、竞价排名、医疗、独立经营性网站等高危网站制定专属策略,保证业务网站的正常访问。

 

 

 

 

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验