行业动态

如何保护您的网络

如您所见，要防止各种 DDoS 攻击是不可能的。 当你想要构建一个针对DDoS的防御系统时，你需要掌握这些攻击形式的变化。

笨重的防御需要更多的带宽，而且要花很多钱。 拒绝服务就像一场游戏。 如果你用10000系统发送1mbps的流量，就意味着你每秒钟向你的服务器发送10GB的数据流量，这会造成拥塞。 在这种情况下，适用与正常冗余相同的规则。 此时，你需要更多的服务器，所有的数据中心，更好的负载均衡服务。 将流量分散在多台服务器上有助于您平衡流量，更大的带宽有助于您应对各种大规模的流量问题。 但是现代的 DDoS 攻击越来越疯狂，你需要越来越多的带宽，而你的财务状况不允许你投入更多的钱。 此外，大多数时候服务器运维，您的网站并不是攻击的主要目标，许多管理员都忘记了这一点。

网络中最关键的部分是 DNS 服务器。 绝对不建议让 DNS 解析器保持打开状态。 您应该锁定它以降低被攻击的风险。 但是这样做之后，我们的服务器安全吗？ 答案当然是否定的。 即使您的网站没有链接到您的 DNS 服务器，它也可以很好地解析为您注册的域名。 大多数需要两个 DNS 服务器，但这还不够，您必须确保您的 DNS 服务器、您的网站和其他资源在平衡状态下受到保护。 您还可以使用冗余 DNS。 例如，一些公司提供内容交付网络（分布式状态）来向客户发送文件服务器运维，这是抵御 DDoS 攻击的好方法，还有许多公司在您需要时为该 DNS 提供保护。

如果您自己管理网络和数据，则需要专注于网络层并进行大量配置。 首先，确保您的所有路由器都能够阻止垃圾数据包并删除未使用的协议，例如 ICMP。 然后设置好防火墙。 很明显，你的网站永远不会允许随机的DNS服务器被访问，所以与其让UDP 53端口的数据包通过你的服务器，不如让你的提供商为你设置一些边界网络设置，以防止一些无用的信息，这样，您可以获得最大和最流畅的带宽。 许多互联网提供商向企业提供此类服务。 您可以通过网络运营中心与他们联系，以便他们为您优化流量并帮助您监控是否受到攻击。

有很多方法可以防止类似 SYN 的攻击，例如 TCP 积压、减少 SYN 接收计时器或使用 SYN 缓存等。

最后，您应该考虑如何在这些攻击到达您的网站之前阻止它们，例如，现代网站使用大量动态资源。 攻击时带宽相对容易控制，但最终损失的是你运行数据库或脚本，可以考虑使用缓存服务器提供尽可能多的静态内容，快速替换静态资源和动态资源，保证正常检测系统的运行。

最糟糕的情况之一是您的网络或网站完全崩溃，您应该在攻击刚刚开始时做好计划。 因为一旦攻击开始，就很难从源头上阻止 DDoS 攻击。 最后，您应该考虑如何让您的基础架构更加合理、安全，并专注于您的网络设置。 这些非常重要。