如何对ddos异常流量清洗过滤?
流量清洗顾名思义就是对网络中存在的异常流量进行清洗,保证正常流量的传输和业务的连续性。主要使用专业流量检测&清洗设备完成这样的工作,检测设备通过流量阈值、报文特征、源IP行为模型等检测机制判定流量是否正常,当确认是异常流量时则联动清洗设备完成引流、清洗、回注的清洗动作,确保网络的可用性。
目前国内异常流量清洗领域的最大提供者为三大运营商,同时主流厂家中网盾科技、绿盟、华为名列前茅,其中网盾科技当前单设备处理性能可达百G级别,其他厂家的设备性能相较略低,三大运营商也会与厂家进行合作为客户提供抗D服务的租用。那么,网盾是如何对ddos异常流量清洗过滤呢?
1、过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假 IP ,只开放服务端口成为目前很多服务器的流行做法,服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。
2、检查访问者的来源
使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现,有助于提高网络安全性。
3、限制 SYN/ICMP流量
用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击,虽然目前该方法对于网站被 DDOS攻击效果不太明显了, 不过仍然能够起到一定的作用。
4、定期扫描
要预防网站被 DDOS攻击就要定期扫描现有的网络主节点,清查可能存在的安全漏洞, 对新出现的漏洞及时进行清理。 而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
5、在骨干节点配置防火墙
防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机, 这样可以保护真正的主机不被攻击。 当然导向的这些牺牲主机 可以选择不重要的, 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统
6、配置高防IP来抵御DDoS攻击
这是一种较为理想的应对策略。如果用户加了高防IP来做防护(可根据攻击量随时升级套餐),在线上业务遭受到DDoS攻击时,将攻击流量引流到高防IP,对ddos异常流量清洗过滤,确保源站的稳定可靠。购买DDoS高防IP服务后,需要把域名解析到高防IP(Web业务把域名解析指向高防IP;非Web业务把业务IP替换成高防IP),并配置源站IP。配置完成后,所有公网流量都将经过高防IP机房,在机房清洗过滤恶意攻击流量,然后将正常流量通过端口协议转发的方式转发到源站IP,从而确保源站IP稳定访问。
7、充分利用网络设备保护网络资源
死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了网站被 DDoS攻击。
网站被 DDoS攻击后是一个非常麻烦的问题,所以必须在网站被 DDoS攻击之前就做好相关的防护措施, 不要造成不必要的损失, 网盾安全高防,提供DDoS异常流量清洗过滤,可全面抵御任何类型的DDoS及CC类型攻击,拥有国内最全病毒特征库样本,为最容易遭受攻击的金融小贷平台、游戏、电商、教育培训、竞价排名、医疗、独立经营性网站等高危网站制定专属策略,保证业务网站的正常访问。
上一篇: 租用的吃鸡游戏服务器被攻击要怎么解决?
下一篇: 到底要怎么选择网络安全防护公司?