技术支持

专业香港高防海外国外站群美国cdn服务器租用
2020-01-14 09:58
来源:云霸天下IDC

        专业香港高防海外国外站群美国cdn服务器租用

  如今,DDOS攻击的门槛降低到史无前例的程度。你甚至只需支付几百块钱就能购买DDOS攻击服务。这意味着如果没有完善的保护,您的竞争对手可以轻松击垮您的网站。毫无疑问,您的业务站点需要避免遭受DDoS攻击。面对DDoS攻击,我们可以通过保护服务器和网络来很大程度地防止它。在,我们帮助香港服务器租用客户来加强和保护他们的服务器,并提供高效可靠的香港高防服务器来实时保护用户业务安全。今天,我们来讨论如何设置CentOS服务器的DDoS保护步骤。

  一、软件防火墙

  首先,我们设置软件防火墙,如APF,CSF等。设置的关键在于如何调整防火墙配置参数。为缓解DDoS攻击,我们的安全工程师会调整防火墙配置文件中的某些参数。例如,在APF中,我们在配置文件“/etc/apf/conf.apf”中设置相关参数以启用Antidos功能。由于Antidos旨在通过cron运行,我们始终确保正确设置Antidoscron。在CSF中,我们启用并调整SYNFLOOD和PORTFLOOD等参数以防止DDoS攻击。此外,我们调整CSF参数,如CT_LIMIT和CT_INTERVAL,以限制连接数。

  二、配置iptables

  在某些情况下,我们的香港服务器专家使用iptables来解决DDoS攻击。DDoS可以是不同类型的,包括SYN泛洪,无效请求,无数UDP数据包等等。为缓解这些攻击中的每一种,我们分别使用不同的iptables规则来缓解不同类型的请求。例如,我们使用以下iptables规则来阻止无效的数据包。

  同样,CentOS7使用最新版本的iptables并支持新的SYNPROXY目标。SYNPROXY检查发送SYN数据包的主机是否建立TCP连接。如果不是,则丢弃该数据包。

  在,我们为香港服务器租用客户提供最佳建议以设置iptables规则,有效缓解DDoS攻击。

  三、DDoSdeflate

  对于网站数量有限的香港服务器租用客户,我们的支持工程师建议安装DDoSdeflate工具。DDoSdeflate是一个阻止DDoS攻击的bash脚本。该脚本使用netstat命令跟踪连接到服务器的IP地址。并且,如果连接数超过阈值限制,它会自动阻止防火墙中的IP。此外,我们调整DDoSdeflate配置文件“/usr/local/ddos/ddos.conf”以调整阈值连接值,此脚本运行频率等参数,以有效解决DDoS问题。

  四、安装mod_evasiveApache模块

  Mod_evasiveApache模块是我们的香港服务器专家在CentOS中预防DDoS的另一种有效的方法。它在发生HTTPDDoS攻击或暴力攻击时起作用。它将发出50多个并发请求的IP地址列入黑名单,并且每秒多次请求同一页面。此外,我们根据服务器配置和流量调整“/etc/httpd/conf.d/mod_evasive.conf”配置文件中的DOSHashTableSize3097,DOSPageCount2,DOSSiteCount50,DOSPageInterval1,DOSSiteInterval1,DOSBlockingPeriod10等mod_evasive参数。

  五、安装mod_security

  DDoS攻击者通常以HTTP为目标。因此,最好有一个Apache过滤系统,它可以在Web服务器处理之前过滤请求。Mod_security是一个具有不同保护规则集的Web应用程序防火墙。它使用这些保护规则检查传入的HTTP流量,并可靠地阻止不需要的恶意流量。在,我们建议香港服务器租用用户在他们的服务器中安装mod_security。除此之外,我们还创建自定义保护规则并将其添加到mod_security配置文件“/usr/local/apache/conf/mod_security.conf”。

  六、安装AIDE

  AIDE(高级入侵检测环境)是CentOS中的入侵检测系统之一。AIDE会检查文件或文件夹的修改时间和完整性,并通知您。换句话说,如果攻击者在您的系统上放置了恶意软件,AIDE会识别它并通知您。我们的安全工程师通过在服务器中设置cron作业来运行预定的AIDE检查。

  七、安装Fail2ban

  在CentOS服务器中进行DDoS保护的另一种有效方法是Fail2ban。Fail2ban扫描服务器日志,并阻止网络级别的恶意IP地址。Fail2ban配置文件是“/etc/fail2ban/jail.local”,其中包含各种服务的预定义过滤器。并且,它使用这些过滤器并使用日志文件进行检查。如果匹配超出阈值,则会阻止源IP地址。我们的安全工程师协助香港服务器租用者安装Fail2ban并配置jails。

  八、实现基于sysctl的保护

  基于Sysctl的保护是我们的安全工程师在服务器强化期间采取的关键步骤之一。Sysctl是一个更改正在运行的Linux内核的接口,我们在/etc/sysctl.conf中配置Linux网络和系统设置。最重要的是,我们关注net.ipv4.conf.all.rp_filter=1(允许防止IP欺骗),net.ipv4.tcp_syncookies=1(允许TCPSYNCookie保护)等sysctl.conf参数。此外,我们在/etc/rc.local中添加相关代码并重新启动网络。

  九、限制用户权限

  CentosDDoS保护的另一个重要步骤是限制服务器上的用户权限,包括禁用直接root登录,基于密钥的访问设置,设置自定义SSH端口等。

  十、定期安全审核

  最重要的是,您应该定期审核您的系统和网络。在,我们有一个服务器管理团队,定期检查服务器的漏洞。我们使用Rkhunter,chkrootkit等工具。在服务器中查找rootkit,后门,漏洞,更改的二进制文件等。我们还使用Nmap,Nessus等工具来执行网络漏洞审核。此外,我们制定并执行维护清单,涵盖服务器的所有安全方面,如软件漏洞,内核升级,开放端口等。

  十一、手动阻止

  当服务器因DDoS攻击而关闭时,手动阻止违规IP也会有所帮助。我们的安全工程师使用脚本命令识别违规IP(通过TCP/UDP连接到服务器的顶级IP地址)。根据我们的经验,如果来自IP的数据包数量少于50,这是正常的,如果它超过200,则很可能是DDoS攻击。

  十二、设置负载平衡器

  另一种防御DDoS的最佳方法是在服务器上设置负载均衡器。如果服务器处于DDoS或不可用,则负载平衡器通过将实时流量从一个服务器重新路由到另一个服务器来增加灵活性。因此,它消除了单一故障点并减少了攻击风险。除此之外,我们调整参数,如每个用户的连接数,http请求超时设置等,以缓解DDoS攻击。

  十三、采用香港高防服务器

  如果您的网站正在遭受大规模的DDoS攻击,或者您经营的业务存在DDoS高风险,我们建议您启用香港高防服务器,我们的香港高防服务器基于智能攻击检测和流量清洗,可以自动检测全品类的DDoS变种攻击,并自动切换到高防线路,通过海量带宽清洗恶意流量和返注正常流量。DDoS防御能力高达600Gbps,且支持压力测试和防御无效退款承诺。

  总之,DDoS攻击可以使网站崩溃,停止服务。DDoS没有完美的解决方案,但我们可以通过保护服务器和网络来在很大程度上防止它。今天,我们为您简单介绍了CentOS服务器DDoS保护的13个不同步骤以及我们的香港服务器管理团队如何实现它们,希望对您有所启发。

  

云霸天下IDC服务商为您的网站提供全球IDC资源
在线咨询
专属客服

免费电话:
15243892121