DDOS防護體系如何建立?

2021-09-20 14:01:45 字數 1220 閱讀 4815

銳速雲阿龍 

qq344953347 

1、應用系統開發過程中持續消除效能瓶頸,提公升效能

通過各類優化技術,提公升應用系統的併發、新建以及資料庫查詢等能力,減少應用型ddos攻擊型別的潛在危害;

2、定期掃瞄和加固自身業務裝置

定期掃瞄現有的網路主節點及主機,清查可能存在的安全漏洞和不規範的安全配置,對新出現的漏洞及時進行

修補清理,對於需要加強安全配置的引數進行加固;

3、確保資源冗餘,提公升耐打能力

建立多節點負載均衡

,準備好電信,聯通,移動,三個方向的強大防護資源

,配備多線路高頻寬,配備強大的運算能力,藉此「吸收」ddos攻擊;

準備一套備用方案,

隨時可以啟用備用方案。

4、服務最小化,關停不必要的服務和埠

關停不必要的服務和埠,實現服務最小化,例如www伺服器只開放80而將其它所有埠關閉或在防火牆上做阻止策略。可大大減少被與服務不相關的攻擊所影響的概率;

5、選擇專業的產品和服務

三分產品技術,七分設計服務,除了防護產品本身的功能、效能、穩定性,易用性等方面,還需要考慮防護產品廠家的技術實力,服務和支援能力,應急經驗等;

6、多層監控、縱深防禦

從骨幹網路、idc入口網路的bps、pps、協議分布,主機層的cpu狀態、tcp新建連線數狀態、tcp併發連線數狀態,到業務層的業務處理量、業務連通性等多個點部署監控系統。即使乙個監控點失效,其他監控點也能夠及時給出報警資訊。多個點資訊結合,準確判斷被攻擊目標和攻擊手法;

7、完備的防禦組織

囊括到足夠全面的人員,至少包含監控部門、運維部門、網路部門、安全部門、客服部門、業務部門等,所有人員都需要2-3個備份。

8、明確並執行應急流程

提前演練,應急流程啟動後,除了人工處理,還應該包含一定的自動處理、半自動處理能力。例如自動化的攻擊分析,確定攻擊型別,自動化、半自動化的防禦策略,在安全人員到位之前,最先發現攻擊的部門可以做一些緩解措施。

假設來攻擊了,哪種方式切換最快與有效,提前演練好切換的整個過程,列出可能存在的因素,

總結

針對ddos防禦,主要的工作是幕後積累,在沒有充分的資源準備,沒有足夠的應急演練,沒有豐富的處理經驗,ddos攻擊將會造成災難性的後果。

DDOS攻擊防護HTTP篇

http get flood攻擊的原理很簡單,攻擊者利用攻擊工具或者操縱殭屍主機,向目標伺服器發起大量的http get報文,請求伺服器上涉及資料庫操作的uri或其它消耗系統資源的uri,造成伺服器資源耗盡,無法響應正常請求。302重定向 302重定向認證的原理是anti ddos系統代替伺服器向客...

阿里雲如何設定基礎設施DDoS防護?

ddos高防例項的流量黑白名單用於封禁或者放行來自指定源ip的四層訪問流量。根據業務需要為ddos高防例項單獨配置流量黑名單 白名單,例如新增 移除ip。流量黑名單中也包含ddos高防智慧型防禦演算法標記的惡意ip。同時,流量黑白名單支援匯出到本地。本文分享流量黑白名單的具體操作方法。更多參閱官方文...

深入了解DDoS攻擊型別,有效防護DDOS攻擊。

目前,ddos攻擊已經不在網路安全界的新客,但作為老客的它已經變的越來越複雜。黑客不斷提出新的攻擊方案以便於繞過安全部門所制定的防禦計畫,進而對企業造成利益的損害。但安全提供商在防禦技術上的研究也並沒有就此停止腳步,反而更加積極的推出新的解決方案來組織黑客攻擊。1 應用層ddos攻擊 應該層的ddo...