1, 고성능 네트워크 장치를 사용합니다.
우선 네트워크 디바이스가 병목 현상이 되지 않도록 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때 인지도가 높고 평판이 좋은 제품을 선택하세요. 그렇다면 인터넷 공급업체와 특별한 관계나 합의가 있다면 더 좋을 것이다. 대량의 공격이 발생할 때, 네트워크 접점에서 트래픽 제한을 요구하여 어떤 DDOS 공격에 대항하는 것은 매우 효과적이다.
2. 가능한 한 NAT 사용을 피하십시오.
라우터든 하드웨어 방호벽 장치든 네트워크 주소 변환 NAT 를 사용하지 마십시오. 이 기술은 네트워크 통신 기능을 크게 저하시킬 수 있기 때문입니다. 사실, 그 이유는 NAT 가 주소를 앞뒤로 변환하고 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하기 때문에 CPU 시간이 많이 낭비되지만 때로는 NAT 를 사용해야 하기 때문에 좋은 방법이 없습니다.
3. 충분한 네트워크 대역폭 보장
네트워크 대역폭은 공격에 저항하는 능력을 직접 결정합니다. 대역폭 10M 만 있다면 어떤 조치를 취해도 현재의 SYNFlood 공격에 견딜 수 없습니다. 현재 최소한 100M 의 대역폭을 선택해야 하는데, 가장 좋은 것은 1000 M 의 백본에 매달리는 것이지만, 호스트의 네트워크 카드가 1000M 이라고 해서 네트워크 대역폭이 기가비트라는 것을 의미하지는 않는다는 점에 유의해야 합니다. 100M 스위치를 연결하는 경우 실제 대역폭은 100M 을 초과하지 않으며 100M 의 대역폭이 연결되어 있더라도 네트워크 서비스 공급자가
4. 호스트 서버 하드웨어를 업그레이드합니다.
네트워크 대역폭을 보장하면서 하드웨어 구성을 가능한 한 업그레이드하십시오. 초당 65438+ 만인 SYN 공격 팩에 효과적으로 대응하기 위해서는 최소한 p 42.4g/DDR 5 12m/SCSI-HD 이상의 서버 구성이 필요하며 CPU 와 메모리가 중요한 역할을 합니다. 지강 듀얼 CPU 가 있다면 사용하세요. 메모리에는 반드시 DDR 고속 메모리를, 하드 드라이브에는 SCSI 를 선택해야 합니다. IDE 를 충분히 싸게 탐내지 마라, 그렇지 않으면 높은 성능 가격을 지불할 것이다. 그리고 카드는 3COM 이나 Intel 등 유명 브랜드여야 합니다. Realtek 인 경우 자체 PC 에서 사용해야 합니다.
5. 웹 사이트를 정적 페이지 또는 의사 정적으로 만듭니다.
사이트를 정적 페이지로 만들면 공격력을 크게 높일 수 있을 뿐만 아니라 해커들에게도 많은 번거로움을 초래할 수 있는 것으로 드러났다. 적어도 지금까지 HTML 의 넘침은 아직 나타나지 않았다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 스포츠명언) 현재 많은 포털은 정적 페이지 위주이다. 동적 스크립트 호출이 필요한 경우 공격을 받을 때 주 서버를 포함하지 않도록 다른 별도의 호스트로 가져옵니다. 물론 데이터베이스를 제대로 호출하지 않는 스크립트를 넣는 것도 가능합니다. 또한 데이터베이스를 호출해야 하는 스크립트에서 에이전트 사용을 거부하는 것이 좋습니다. 경험에 따르면 프록시를 사용하여 웹 사이트에 액세스하는 것은 악의적이기 때문입니다.
6. 운영 체제의 TCP/IP 스택을 향상시킵니다.
Win2000 및 win2003 은 서버 운영 체제로서 DDOS 공격을 막을 수 있는 능력이 있지만 기본적으로 켜지지 않습니다. 열면 10000 정도 되는 SYN 공격팩에 저항할 수 있고, 열지 않으면 수백 개만 저항할 수 있습니다.
7. 전문 안티 DDOS 방화벽을 설치합니다.
8.HTTP 요청 차단
악의적인 요청에 특징이 있다면, 처리하기가 매우 간단하고 직접 가로막으면 된다. HTTP 요청에는 일반적으로 IP 주소와 사용자 프록시 필드의 두 가지 특징이 있습니다.
9. 백업 사이트
백업 사이트가 있거나 적어도 하나의 임시 홈페이지가 있어야 합니다. 만일 운영 서버가 오프라인이 되면 바로 백업 사이트로 전환할 수 있다면 속수무책으로 넘어가지 않을 것이다.
백업 사이트가 반드시 완전한 기능을 갖춘 것은 아닙니다. 완전히 정적으로 탐색할 수 있다면, 요구를 충족시킬 수 있다. 적어도, 너는 사용자 사이트에 문제가 있어 고치고 있다는 공고를 표시할 수 있어야 한다. 이 임시 홈페이지는 Github 에 두는 것이 좋습니다.
Pages 또는 Netlify, 대역폭, 공격에 대처할 수 있으며, 모두 바인딩 도메인 이름을 지원하며 소스 코드에서 자동으로 구축될 수 있습니다.
10, CDN 배포 중
CDN 은 한 사이트의 정적 콘텐츠를 여러 서버에 분산하는 것으로, 사용자가 가까이서 액세스하여 속도를 높일 수 있다. 따라서 CDN 은 DDOS 공격을 방어하는 데 사용할 수 있는 대역폭 확장 방법이기도 합니다.
웹 사이트의 내용은 소스 서버에 저장되고 내용은 CDN 에 캐시됩니다. 사용자는 CDN 에만 액세스할 수 있으며, 컨텐츠가 CDN 에 없는 경우 CDN 은 원천 서버에 요청을 보냅니다. 이 경우 CDN 이 충분히 크면 큰 공격을 막을 수 있다. 그러나 이 접근법에는 사이트의 내용 대부분이 정적으로 캐시되어야 한다는 전제가 있다. 동적 컨텐츠 위주의 웹 사이트의 경우, 동적 데이터에 대한 사용자의 요청을 최소화할 수 있는 다른 방법을 강구해야 합니다. 본질은 스스로 마이크로 CDN 을 만드는 것이다. 각 대형 클라우드 서비스 업체가 제공하는 높은 보안 IP 는 사이트 도메인 이름이 높은 보안 IP 를 가리키고 버퍼 계층을 제공하며 트래픽을 청소하고 소스 서버의 내용을 캐시합니다.
여기에 중요한 점이 하나 있다. 일단 CDN 에 도착하면 소스 서버의 IP 주소를 공개하지 마십시오. 그렇지 않으면 공격자가 CDN 을 우회하여 소스 서버를 직접 공격할 수 있습니다. 이전의 노력은 모두 헛수고였다.
1 1, 기타 방어 수단
위의 권장 사항은 자신의 호스트를 보유한 대부분의 사용자에게 적합하지만, 이러한 조치를 취한 후 DDOS 문제를 해결할 수 없다면 더 많은 투자가 필요할 수 있습니다. 예를 들어, 서버 수 증가, DNS 라운드 또는 로드 밸런싱 기술, 심지어 7 계층 스위치 장치를 구입하여 DDOS 공격에 저항하는 능력을 두 배로 늘릴 수 있습니다. 충분히 깊게 투자하기만 하면 됩니다.