每個網(wǎng)站都會面對網(wǎng)絡(luò)攻擊。唯一的區(qū)別在于,如何建設(shè)防御,以及如何進行警報和響應(yīng)。下面為大家介紹下保護公司網(wǎng)站預(yù)防ddos攻擊有什么策略的知識介紹。
1. 針對DDoS攻擊設(shè)計、配置、測試你的設(shè)備
借助你的托管服務(wù)商的經(jīng)驗來進行這些測試,善用他們的援助。
2. 設(shè)置報警
確認你的網(wǎng)絡(luò)環(huán)境中的正常是什么樣子。這樣在網(wǎng)絡(luò)狀態(tài)進入“不正?!睜顟B(tài)時可以即時設(shè)置報警。
3. 將你面向公共的域名別名化(alias)到內(nèi)部域名。
這可以讓你在幕后進行快速響應(yīng),并實時做出DNS修正,而不需要依賴第三方服務(wù)供應(yīng)商。
4. 學會如何有效地在可能受到威脅的情況下進行DNS修正。經(jīng)常進行練習。
5. DDoS攻擊會用到數(shù)百個攻擊向量,試圖耗盡服務(wù)器的資源。
流量測試會啟動許多并行線程,這可能使DDoS攻擊更加兇猛。每個測試都至少應(yīng)當運行三小時,以維持響應(yīng)時間,但在兩次測試之間應(yīng)留出足夠的響應(yīng)區(qū)間。在進行顯著性測試、風險懸浮以及取消服務(wù)之前應(yīng)當授予明確的許可。
6. 在進行自動放大配置時,不要將CPU負載作為量度。
DDoS攻擊的最好證據(jù)就是接入HTTP請求的數(shù)量上升,因此最好將接入連接數(shù)作為觸發(fā)警報的量度。
7. 防御規(guī)模應(yīng)當增加得迅速,但下降得緩慢。
增加和下降的速度比應(yīng)當設(shè)置為4:1或2:1。這會使系統(tǒng)在應(yīng)對第一波攻擊時響應(yīng)快速,之后也不需要反復(fù)增加規(guī)模。特別是在攻擊者采取放風箏戰(zhàn)術(shù),即撤退后又殺回來的情況下。
8. 如果使用AWS彈性負載均衡(AWS Elastic Load Balancing),激活“交叉地帶負載均衡”選項。這對于均衡后端服務(wù)器群的流量而言是最好選擇,會顯著地減輕DNS設(shè)施上的負載。
以上就是有關(guān)保護公司網(wǎng)站預(yù)防DDoS攻擊一些策略介紹。