一.减少曝光
在攻击之前,对方会扫描你的开放端口,针对你提供的服务,让僵尸网络合法入侵你的资源。所以我们尽量避免在公共网络上暴露服务器端口。阿里巴巴云的安全组可以有效防止系统被扫描或意外暴露。
二.优化业务架构
在运营初期,技术团队会对业务架构进行压力测试,但在很多情况下,企业由于成本考虑,不够灵活和冗余,这使得我们容易受到攻击。
部署灵活的负载均衡:负载均衡可以减轻单个ECS的压力,在一定流量范围内可以有效缓解连接层的DDoS攻击;负载均衡可以有效缓解会话层和应用层的攻击,在受到攻击时自动增加服务器数量,提高处理性能,避免严重的业务影响。
剩余带宽:TCP三次握手会发起DDoS攻击,占用你的宽带资源。因此在购买带宽时,要保证有一定的余量带宽,这样可以避免带宽大于正常使用量时影响正常用户的情况。
三.服务安全加固
保障服务器上操作系统和软件服务的安全,减少可攻击点,增加攻击者的攻击成本;
1.确保服务器的系统文件是最新版本,并及时更新系统补丁。
2.检查所有服务器主机,找出访客来源。
3.过滤不必要的服务和端口。例如,对于WWW服务器,只打开端口80,关闭所有其他端口,或者在防火墙上设置阻止策略。
4.限制同时打开的SYN半连接数量,缩短SYN半连接超时时间,限制SYN/ICMP流量。
5.仔细检查网络设备和服务器系统的日志。一旦出现漏洞或时间变化,就意味着服务器可能受到了攻击。
6.限制防火墙外的网络文件共享。减少黑客拦截系统文件的机会。如果黑客用木马取而代之,文件传输功能就会瘫痪。
7.充分利用网络设备保护网络资源。在配置路由器时,我们应该考虑流量控制、包过滤、半连接超时、垃圾数据包丢弃、伪造源数据包丢弃、SYN阈值以及禁用ICMP和UDP广播的策略配置。
8.带有疑似恶意IP的新TCP连接受到iptable等软件防火墙的限制,疑似恶意IP的连接和传输速率受到限制。
四.业务监控
阿里巴巴云的云监控服务可用于收集和获取阿里巴巴云资源的监控指标或用户自定义的监控指标,检测服务的可用性,支持为指标设置告警。
五.商业安全计划
事实上,当企业一直遭受大规模DDoS攻击时,上述防御手段非常少,每分钟几十G、几百G的攻击流量只能通过寻求商业安全解决方案来解决。
比如阿里云防御DDoS攻击的明星产品:阿里云DDoS高仿IP,但是价格高。其次,阿里云推出了DDoS防护包,可以在100G以内提供针对DDoS攻击的防护。
此外,如果你曾经受到过http Flood(CC攻击)的攻击,可以考虑使用Web应用防火墙(WAF),它可以为连接层攻击、会话层攻击和应用层攻击提供有效的防御服务。
