DDOS防范建议.docVIP

DDOS防范建议 定义： 分布式拒绝服务 DDoS:Distributed Denial of Service 攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种： 通过使网络过载来干扰甚至阻断正常的网络通讯； 通过向服务器提交大量请求，使服务器超负荷； 阻断某一用户访问服务器； 阻断某服务与特定系统或个人的通讯。 被攻击主机上有大量等待的TCP连接； 网络中充斥着大量的无用的数据包； 源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求； 严重时会造成系统死机。 分布式拒绝服务攻击采取的攻击手段就是分布式的，在攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP 地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。 网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备，在进行防DDoS设置的同时。 .防火墙 禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去。 .路由器 设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server 价格 付费方式 扣费周期 说明 峰值带宽20Gb 16800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为20Gbps 峰值带宽30Gb 26800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为30Gbps 峰值带宽40Gb 46800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为40Gbps 峰值带宽50Gb 66800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为50Gbps 峰值带宽60Gb 86800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为60Gbps 峰值带宽70Gb 136800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为70Gbps 峰值带宽80Gb 166800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为80Gbps 峰值带宽100Gb 196800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为100Gbps 峰值带宽150Gb 246800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为150Gbps 峰值带宽200Gb 286800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为200Gbps 峰值带宽300Gb 366800/月 预付费 包月/包年 购买的DDoS高防IP防护能力为300Gbps 峰值带宽 300Gb 联系客服 预付费 包月/包年 购买的DDoS高防IP防护能力大于300Gbps 从我们被攻击历史分析我们应该购买30Gb的防护值来防护。 云盾DDoS高防配置攻略 1、 进入【管理控制台】后，左侧栏选择【云盾】，进入云盾产品页面，点击【高防ip】如图-1所示： 图-1 2、 选择【高防ip】，在页面右侧会出现您所购买的高防ip列表，选择相应的ip的【安全配置】选项，可进行高防ip的配置和修改，见图-2 图-2? 3、 点击【安全配置】，可见到两类配置：协议转发设置和CC防护设置，如图-3 图-3 其中，协议转发设置用于设置端口转发规则，点击【添加】后可进行操作，【转发协议/端口】为设置转发协议类型和高防ip对外开放端口，【源站端口】为被防护服务器的业务端口，【源站ip】为被保护服务器的公网ip； 4、 若用户服务器为网站类，还可以进行CC防护设置，如图-4所示： 图-4 点击【确定】后，生成一条CC防护设置，同时在【协议转发设置】中开启CC防护开关见图-5? 图-5