如何保護您的網絡

如您所見，要防止各種 DDoS 攻擊是不可能的。 當你想要構建一個針對DDoS的防御系統時，你需要掌握這些攻擊形式的變化。

笨重的防御需要更多的帶寬，而且要花很多錢。 拒絕服務就像一場游戲。 如果你用10000系統發送1mbps的流量，就意味著你每秒鐘向你的服務器發送10GB的數據流量，這會造成擁塞。 在這種情況下，適用與正常冗余相同的規則。 此時，你需要更多的服務器，所有的數據中心，更好的負載均衡服務。 將流量分散在多臺服務器上有助于您平衡流量，更大的帶寬有助于您應對各種大規模的流量問題。 但是現代的 DDoS 攻擊越來越瘋狂，你需要越來越多的帶寬，而你的財務狀況不允許你投入更多的錢。 此外，大多數時候服務器運維，您的網站并不是攻擊的主要目標，許多管理員都忘記了這一點。

網絡中最關鍵的部分是 DNS 服務器。 絕對不建議讓 DNS 解析器保持打開狀態。 您應該鎖定它以降低被攻擊的風險。 但是這樣做之后，我們的服務器安全嗎？ 答案當然是否定的。 即使您的網站沒有鏈接到您的 DNS 服務器，它也可以很好地解析為您注冊的域名。 大多數需要兩個 DNS 服務器，但這還不夠，您必須確保您的 DNS 服務器、您的網站和其他資源在平衡狀態下受到保護。 您還可以使用冗余 DNS。 例如，一些公司提供內容交付網絡（分布式狀態）來向客戶發送文件服務器運維，這是抵御 DDoS 攻擊的好方法，還有許多公司在您需要時為該 DNS 提供保護。

如果您自己管理網絡和數據，則需要專注于網絡層并進行大量配置。 首先，確保您的所有路由器都能夠阻止垃圾數據包并刪除未使用的協議，例如 ICMP。 然后設置好防火墻。 很明顯，你的網站永遠不會允許隨機的DNS服務器被訪問，所以與其讓UDP 53端口的數據包通過你的服務器，不如讓你的提供商為你設置一些邊界網絡設置，以防止一些無用的信息，這樣，您可以獲得最大和最流暢的帶寬。 許多互聯網提供商向企業提供此類服務。 您可以通過網絡運營中心與他們聯系，以便他們為您優化流量并幫助您監控是否受到攻擊。

有很多方法可以防止類似 SYN 的攻擊，例如 TCP 積壓、減少 SYN 接收計時器或使用 SYN 緩存等。

最后，您應該考慮如何在這些攻擊到達您的網站之前阻止它們，例如，現代網站使用大量動態資源。 攻擊時帶寬相對容易控制，但最終損失的是你運行數據庫或腳本，可以考慮使用緩存服務器提供盡可能多的靜態內容，快速替換靜態資源和動態資源，保證正常檢測系統的運行。

最糟糕的情況之一是您的網絡或網站完全崩潰，您應該在攻擊剛剛開始時做好計劃。 因為一旦攻擊開始，就很難從源頭上阻止 DDoS 攻擊。 最后，您應該考慮如何讓您的基礎架構更加合理、安全，并專注于您的網絡設置。 這些非常重要。