1.自主防御方法及步驟
a.定期掃描漏洞,時(shí)打上補(bǔ)丁
要確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng),并打上安全補(bǔ)丁。
b.過濾不必要的服務(wù)和端口
過濾不必要的服務(wù)和端口,即過濾路由器上的假IP…只打開服務(wù)端口已經(jīng)成為許多服務(wù)器的一種流行做法,例如WWW服務(wù)器,它只打開80個(gè)端口,關(guān)閉所有其他端口或在防火墻上阻止它們。
c.檢查訪客來源
使用單播反向路徑轉(zhuǎn)發(fā)等方法,通過反向路由器查詢,檢查訪客IP地址是否為真,如果為假,則屏蔽。許多黑客經(jīng)常使用假IP地址來迷惑用戶,很難找到它的來源。因此,使用單播反向路徑轉(zhuǎn)發(fā)可以減少假IP地址的發(fā)生,有助于提高網(wǎng)絡(luò)安全性。
2.采用高防服務(wù)器,保證服務(wù)器系統(tǒng)的安全
DDOS高防服務(wù)器主要是指獨(dú)立單個(gè)硬防防御應(yīng)對(duì)DDOS攻擊和CC攻擊100G以上的服務(wù)器,可以為單個(gè)客戶提供安全維護(hù),根據(jù)各個(gè)IDC機(jī)房的環(huán)境不同,有的提供有硬防,有使用軟防。簡(jiǎn)單來說,就是能夠幫助網(wǎng)站拒絕服務(wù)攻擊,并且定時(shí)掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),查找可能存在的安全漏洞的服務(wù)器。
從防御范圍來看,高防服務(wù)器能夠?qū)YN、UDP、ICMP、HTTP GET等各類DDoS攻擊進(jìn)行防護(hù),并且能針對(duì)部分特殊安全要求的web用戶提供CC攻擊動(dòng)態(tài)防御。一般情況下,基于包過濾的防火墻只能分析每個(gè)數(shù)據(jù)包,或者有限的分析數(shù)據(jù)連接建立的狀態(tài),防護(hù)SYN或者變種的SYN、ACK攻擊效果不錯(cuò),但是不能從根本上來分析tcp或者udp協(xié)議。
3.采用高防IP,隱藏服務(wù)器的真實(shí)IP地址
高防IP是針對(duì)互聯(lián)網(wǎng)服務(wù)器在遭受大流量DDoS攻擊后導(dǎo)致服務(wù)不可用的情況下的一款增值服務(wù)。其防御原理是用戶可通過配置高防IP,將攻擊流量引流到高防IP,從而保護(hù)真正的IP不被暴露,確保源站的穩(wěn)定可靠,保障用戶的訪問質(zhì)量和對(duì)內(nèi)容提供商的黏度。
