A. 伺服器被DDOS攻擊最佳解決方案是什麼報網警有用么
伺服器被DDOS攻擊最佳解決方案是什麼?報網警有用么?
目前,有效緩解DDoS攻擊的解決方案可分為 3 大類:
架構優化
伺服器加固
商用的DDoS防護服務
架構優化
在預算有限的情況下,建議您優先從自身架構的優化和伺服器加固上下功夫,減緩DDoS攻擊造成的影響。
部署DNS智能解析通過智能解析的方式優化DNS解析,有效避免DNS流量攻擊產生的風險。同時,建議您託管多家DNS服務商。
屏蔽未經請求發送的DNS響應信息
典型的DNS交換信息是由請求信息組成的。DNS解析器會將用戶的請求信息發送至DNS伺服器中,在DNS伺服器對查詢請求進行處理之後,伺服器會將響應信息返回給DNS解析器。
但值得注意的是,響應信息是不會主動發送的。伺服器在沒有接收到查詢請求之前,就已經生成了對應的響應信息,這些回應就應被丟棄。
丟棄快速重傳數據包
即便是在數據包丟失的情況下,任何合法的DNS客戶端都不會在較短的時間間隔內向同- -DNS伺服器發送相同的DNS查詢請求。如果從相同IP地址發送至同一目標地址的相同查詢請求發送頻率過高,這些請求數據包可被丟棄。
啟用TTL
如果DNS伺服器已經將響應信息成功發送了,應該禁 止伺服器在較短的時間間隔內對相同的查詢請求信息進行響應。
對於一個合法的DNS客戶端,如果已經接收到了響應信息,就不會再次發送相同的查詢請求。
每一個響應信息都應進行緩存處理直到TTL過期。當DNS伺服器遭遇大查詢請求時,可以屏蔽掉不需要的數據包。
丟棄未知來源的DNS查詢請求和響應數據
通常情況下,攻擊者會利用腳本對目標進行分布式拒絕服務攻擊( DDoS攻擊) , 而且這些腳本通常是有漏洞的。因此,在伺服器中部署簡單的匿名檢測機制,在某種程度上可以限制傳入伺服器的數據包數量。
丟棄未經請求或突發的DNS請求
這類請求信息很可能是由偽造的代理伺服器所發送的,或是由於客戶端配置錯誤或者是攻擊流量。無論是哪一種情況,都應該直接丟棄這類數據包。
非泛洪攻擊(non-flood) 時段,可以創建一個白名單 ,添加允許伺服器處理的合法請求信息。
白名單可以屏蔽掉非法的查詢請求信息以及此前從未見過的數據包。
這種方法能夠有效地保護伺服器不受泛洪攻擊的威脅,也能保證合法的域名伺服器只對合法的DNS查詢請求進行處理和響應。
啟動DNS客戶端驗證
偽造是DNS攻擊中常用的一種技術。如果設備可以啟動客戶端驗證信任狀,便可以用於從偽造泛洪數據中篩選出非泛洪數據包。
對響應信息進行緩存處理如果某- -查詢請求對應的響應信息已經存在於伺服器的DNS緩存之中,緩存可以直接對請求進行處理。這樣可以有效地防止伺服器因過載而發生宕機。
使用ACL的許可權
很多請求中包含了伺服器不具有或不支持的信息,可以進行簡單的阻斷設置。例如,外部IP地址請求區域轉換或碎片化數據包,直接將這類請求數據包丟棄。
利用ACL , BCP38及IP信營功能
託管DNS伺服器的任何企業都有用戶軌跡的限制,當攻擊數據包被偽造,偽造請求來自世界各地的源地址。設置-個簡單的過濾器可阻斷不需 要的地理位置的IP地址請求或只允許在地理位置白名單內的IP請求。
同時,也存在某些偽造的數據包可能來自與內部網路地址的情況,可以利用BCP38通過硬體過濾清除異常來源地址的請求。
部署負載均衡通過部署負載均衡( SLB )伺服器有效減緩CC攻擊的影響。通過在SLB後端負載多台伺服器的方式,對DDoS攻擊中的CC攻擊進行防護。
部署負載均衡方案後,不僅具有CC攻擊防護的作用,也能將訪問用戶均衡分配到各個伺服器上,減少單台伺服器的負擔,加快訪問速度。
使用專有網路通過網路內部邏輯隔離,防止來自內網肉雞的攻擊。
提供餘量帶寬通過伺服器性能測試,評估正常業務環境下能承受的帶寬和請求數,確保流量通道
不止是日常的量,有-定的帶寬餘量可以有利於處理大規模攻擊。
伺服器加固
在伺服器上進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
確保伺服器的系統文件是最新的版本,並及時更新系統補丁。
對所有伺服器主機進行檢查,清楚訪問者的來源。
過濾不必要的服務和埠。例如, WWW伺服器,只開放80埠,將其他所有埠關閉,或在防火牆上做阻止策略。
限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量。
仔細檢查網路設備和伺服器系統的日誌。一旦出現漏洞或是時間變更,則說明伺服器可能遭到了攻擊。
限制在防火牆外與網路文件共享。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能無疑會陷入癱瘓。
充分利用網路設備保護網路資源。在配置路由器時應考慮以下策略的配置:流控、包過濾、半連接超時、垃圾包丟棄,來源偽造的數據包丟棄, SYN閥值,禁用ICMP和UDP廣播。
通過iptable之類的軟體防火牆限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。
識別游戲特徵,自動將不符合游戲特徵的連接斷開。
防止空連接和假人攻擊,將空連接的IP地址直接加入黑名單。
配置學習機制,保護游戲在線玩家不掉線。例如,通過伺服器搜集正常玩家的信息,當面對攻擊時,將正常玩家導入預先准備的伺服器,並暫時放棄新進玩家的接入,以保障在線玩家的游戲體驗。
商用的DDoS防護服務
針對超大流量的攻擊或者復雜的游戲CC攻擊,可以考慮採用專業的DDoS解決方案。目前,阿里雲、磐石雲、騰訊雲有針對各種業務場景的DDOS攻擊解決方案。
目前,通用的游戲行業安全解決方案做法是在IDC機房前端部署防火牆或者流量清洗的一些設備, 或者採用大帶寬的高防機房來清洗攻擊。
當寬頻資源充足時,此技術模式的確是防禦游戲行業DDoS攻擊的有效方式。不過帶寬資源有時也會成為瓶頸:例如單點的IDC很容易被打滿,對游戲公司本身的成本要求也比較高。
您可根據自己的預算和遭受攻擊的嚴重程度,來決定採用哪些安全措施。
安全防護有日誌留存的可以選擇報網警,前提是你自己的業務沒有涉灰問題。
報網警有用嗎?
至於報警,肯定有用,你不報警,警方沒有線索,怎麼抓人?
但是,這個作用不一定立即體現,警方需要時間偵查,需要取證。
DDoS的特點決定了,如果不在攻擊時取證,證據很快就沒了。因此要攻擊者反復作案,才好抓。
對一一個被害人,只作案一次,或者隨機尋找被害人的情況,最難抓。
而且調查涉及多方溝通、協調,比如被利用的主機的運營者,被害人,可能涉及多地警方的合作等等。
指望警方減少犯罪分子是可以的,但是指望通過報警拯救你的業務,只能說遠水解不了近渴。
B. 伺服器被攻擊怎麼辦
查看下是什麼類型的攻擊。
1、檢查下系統日誌,看下攻擊者都去了哪些地方
2、關閉不必要的服務和埠
3、整體掃描下伺服器,看下存在什麼問題, 有漏洞及時打補丁;檢查是否有影子賬戶,不是自己建立的賬號;內容是否又被修改的痕跡等,如果發現問題及時進行清理。
4、重新設置賬戶密碼,以及設置賬戶許可權。
5、對伺服器上的安全軟體進行升級,或者是對防護參數進行重新設置,使他符合當時的環境。如果伺服器上沒有安裝防護軟體,可以看下安全狗軟體。
如果是大流量攻擊,可以看下DOSS流量清洗,這個很多安全廠商都有這個服務,包括安全狗,安全寶、加速樂等。
6、如果之前有做備份,建議對重要數據進行替換。