当前位置:首页 > 公司荣誉 >

关停不必要的服务和端口

编辑:北京聚贤贵都宾馆有限公司时间:2018-10-23 10:43:08阅读次数:2
一言不合就拿1T流量的DDoS攻击来勒索,怎么防? 一言不合就拿1T流量的DDoS攻击来勒索,怎么防?在线等!

2.DDOS防护应急手段

针对本次DDoS攻击事件,下文就目前市场上主流的DDoS防护应急手段,按其差异性和适用场景做了简要对比。

常规的DDoS防护应急方式因其选择的引流技术不同而在实现上有不同的差异性,主要分成以下三种:

1. 本地DDoS防护设备;

2. 运营商清洗服务;

3. 云清洗服务。

三种类型的DDoS防护应急手段引流方式的原理:

一言不合就拿1T流量的DDoS攻击来勒索,怎么防?在线等!

了解引流技术原理后,简要阐述各种方式在DDoS应急上的优劣:

本地DDoS防护设备:

本地化防护设备,增强了用户监控DDoS监控能力的同时做到了业务安全可控,且设备具备高度可定制化的策略和服务,更加适合通过分析攻击报文,定制策略应对多样化的、针对性的DDoS攻击类型;但当流量型攻击的攻击流量超出互联网链路带宽时,需要借助运营商清洗服务或者云清洗服务来完成攻击流量的清洗。

运营商清洗服务:

运营商采购安全厂家的DDoS防护设备并部署在城域网,通过路由方式引流,和Cname引流方式相比其生效时间更快,运营商通过提清洗服务方式帮助企业用户解决带宽消耗性的拒绝服务攻击;但是运营商清洗服务多是基于Flow方式检测DDoS攻击,且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想,此外部分攻击类型受限于防护算法往往会有透传的攻击报文,此时对于企业用户还需要借助本地DDoS防护设备,实现二级清洗。

云清洗服务:

云清洗服务使用场景较窄,当使用云清洗服务做DDoS应急时,为了解决攻击者直接向站点真实IP地址发起攻击而绕过了云清洗中心的问题,通常情况下还需要企业用户配合做业务地址更换、Cname引流等操作配置,尤其是业务地址更换导致的实际变更过程可能会出现不能落地的情况。另一方面对于HTTPS Flood防御,当前云清洗服务需要用户上传HTTPS业务私钥证书,可操作性不强。此外业务流量导入到云平台,对业务数据安全性也提出了挑战。

对比了三种方式的不同和适用场景,我们会发现单一解决方案不能完成所有DDoS攻击清洗,推荐企业用户在实际情况下可以组合本地DDoS防护设备+运营商清洗服务或者本地DDoS防护设备+云清洗服务,实现分层清洗的效果。针对金融行业,更推荐的组合方案是本地DDoS防护设备+运营商清洗服务。对于选择云清洗服务的用户,如果只是在DDoS攻击发生时才选择将流量导入到云清洗平台,需要做好备用业务地址的更换预配置(新业务地址不可泄露,否则一旦被攻击者获悉将会失去其意义)。

3.DDOS防护实践总结

借鉴DDoS攻防工程师总结的经验,企业客户在DDoS防护体系建设上通常需要开展的工作有:

应用系统开发过程中持续消除性能瓶颈,提升性能

通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;

定期扫描和加固自身业务设备

定期扫描现有的网络主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行清理,对于需要加强安全配置的参数进行加固;

确保资源冗余,提升耐打能力

建立多节点负载均衡,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;

服务最小化,关停不必要的服务和端口

关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放 80 而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;

选择专业的产品和服务

推荐阅读/观看:朝阳网站建设 http://cywzjs.com.cn


上一篇:网站刚开始做 下一篇:最后一页

相关阅读