如何保護您的網(wǎng)絡

如您所見，要防止各種 DDoS 攻擊是不可能的。 當你想要構建一個針對DDoS的防御系統(tǒng)時，你需要掌握這些攻擊形式的變化。

笨重的防御需要更多的帶寬，而且要花很多錢。 拒絕服務就像一場游戲。 如果你用10000系統(tǒng)發(fā)送1mbps的流量，就意味著你每秒鐘向你的服務器發(fā)送10GB的數(shù)據(jù)流量，這會造成擁塞。 在這種情況下，適用與正常冗余相同的規(guī)則。 此時，你需要更多的服務器，所有的數(shù)據(jù)中心，更好的負載均衡服務。 將流量分散在多臺服務器上有助于您平衡流量，更大的帶寬有助于您應對各種大規(guī)模的流量問題。 但是現(xiàn)代的 DDoS 攻擊越來越瘋狂，你需要越來越多的帶寬，而你的財務狀況不允許你投入更多的錢。 此外，大多數(shù)時候服務器運維，您的網(wǎng)站并不是攻擊的主要目標，許多管理員都忘記了這一點。

網(wǎng)絡中最關鍵的部分是 DNS 服務器。 絕對不建議讓 DNS 解析器保持打開狀態(tài)。 您應該鎖定它以降低被攻擊的風險。 但是這樣做之后，我們的服務器安全嗎？ 答案當然是否定的。 即使您的網(wǎng)站沒有鏈接到您的 DNS 服務器，它也可以很好地解析為您注冊的域名。 大多數(shù)需要兩個 DNS 服務器，但這還不夠，您必須確保您的 DNS 服務器、您的網(wǎng)站和其他資源在平衡狀態(tài)下受到保護。 您還可以使用冗余 DNS。 例如，一些公司提供內容交付網(wǎng)絡（分布式狀態(tài)）來向客戶發(fā)送文件服務器運維，這是抵御 DDoS 攻擊的好方法，還有許多公司在您需要時為該 DNS 提供保護。

如果您自己管理網(wǎng)絡和數(shù)據(jù)，則需要專注于網(wǎng)絡層并進行大量配置。 首先，確保您的所有路由器都能夠阻止垃圾數(shù)據(jù)包并刪除未使用的協(xié)議，例如 ICMP。 然后設置好防火墻。 很明顯，你的網(wǎng)站永遠不會允許隨機的DNS服務器被訪問，所以與其讓UDP 53端口的數(shù)據(jù)包通過你的服務器，不如讓你的提供商為你設置一些邊界網(wǎng)絡設置，以防止一些無用的信息，這樣，您可以獲得最大和最流暢的帶寬。 許多互聯(lián)網(wǎng)提供商向企業(yè)提供此類服務。 您可以通過網(wǎng)絡運營中心與他們聯(lián)系，以便他們?yōu)槟鷥?yōu)化流量并幫助您監(jiān)控是否受到攻擊。

有很多方法可以防止類似 SYN 的攻擊，例如 TCP 積壓、減少 SYN 接收計時器或使用 SYN 緩存等。

最后，您應該考慮如何在這些攻擊到達您的網(wǎng)站之前阻止它們，例如，現(xiàn)代網(wǎng)站使用大量動態(tài)資源。 攻擊時帶寬相對容易控制，但最終損失的是你運行數(shù)據(jù)庫或腳本，可以考慮使用緩存服務器提供盡可能多的靜態(tài)內容，快速替換靜態(tài)資源和動態(tài)資源，保證正常檢測系統(tǒng)的運行。

最糟糕的情況之一是您的網(wǎng)絡或網(wǎng)站完全崩潰，您應該在攻擊剛剛開始時做好計劃。 因為一旦攻擊開始，就很難從源頭上阻止 DDoS 攻擊。 最后，您應該考慮如何讓您的基礎架構更加合理、安全，并專注于您的網(wǎng)絡設置。 這些非常重要。