防范 DDoS 攻击的 15 个方法

原文出处： securitywing   译文出处：OSChina  

为了对抗 DDoS(分布式拒绝服务)攻击，你须要对攻击时发生了什么有一个清楚的理解. 简单来说，DDoS 攻击能够经过利用服务器上的漏洞，或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击，你能够按照下面列出的步骤来作：

1. 若是只有几台计算机是攻击的来源，而且你已经肯定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份 ACL（访问控制列表) 来阻断这些来自这些 IP 的访问。若是可能的话 将 web 服务器的 IP 地址变动一段时间，可是若是攻击者经过查询你的 DNS 服务器解析到你新设定的 IP，那这一措施及再也不有效了。

2. 若是你肯定攻击来自一个特定的国家，能够考虑未来自那个国家的 IP 阻断，至少要阻断一段时间.

三、监控进入的网络流量。经过这种方式能够知道谁在访问你的网络，能够监控到异常的访问者，能够在过后分析日志和来源IP。在进行大规模的攻击以前，攻击者可能会使用少许的攻击来测试你网络的健壮性。

四、对付带宽消耗型的攻击来讲，最有效（也很昂贵）的解决方案是购买更多的带宽。

五、也可使用高性能的负载均衡软件，使用多台服务器，并部署在不一样的数据中心。

六、对web和其余资源使用负载均衡的同时，也使用相同的策略来保护DNS。

七、优化资源使用提升 web server 的负载能力。例如，使用 apache 能够安装 apachebooster 插件，该插件与 varnish 和 nginx 集成，能够应对突增的流量和内存占用。

八、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。能够考虑购买 Cloudfair 的商业解决方案，它能够提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。

九、启用路由器或防火墙的反IP欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击“配置”中的“防火墙”，找到“anti-spoofing”而后点击启用便可。也能够在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网建立 ACL，而后应用到互联网的接口上。

十、使用第三方的服务来保护你的网站。有很多公司有这样的服务，提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只须要按月支付几百美圆费用就行。

十一、注意服务器的安全配置，避免资源耗尽型的 DDOS 攻击。

十二、遵从专家的意见，针对攻击事先作好应对的应急方案。

1三、监控网络和 web 的流量。若是有可能能够配置多个分析工具，例如：Statcounter 和 Google analytics，这样能够更直观了解到流量变化的模式，从中获取更多的信息。

1四、保护好 DNS 避免 DNS 放大攻击。

1五、在路由器上禁用 ICMP。仅在须要测试时开放 ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半链接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播。

最后多了解一些 DDOS 攻击的类型和手段，并针对每一种攻击制定应急方案。