云環(huán)境下的DDOS攻擊如何來防護(hù)？當(dāng)我們發(fā)現(xiàn)服務(wù)器被攻擊，不要 不要太驚慌。首先檢查網(wǎng)站服務(wù)器是否被黑，找出網(wǎng)站的黑鏈，然后做好網(wǎng)站的安全防御，開啟IP PING，可以防止被掃描，關(guān)閉不必要的端口。這

云環(huán)境下的DDOS攻擊如何來防護(hù)？

當(dāng)我們發(fā)現(xiàn)服務(wù)器被攻擊，不要 不要太驚慌。首先檢查網(wǎng)站服務(wù)器是否被黑，找出網(wǎng)站的黑鏈，然后做好網(wǎng)站的安全防御，開啟IP PING，可以防止被掃描，關(guān)閉不必要的端口。這些只能防止簡單的攻擊。對于大流量的DDOS攻擊，你必須有足夠的帶寬配合防火墻進(jìn)行防御。你的防御能力比攻擊者更強(qiáng)。;的攻擊流量，所以你可以防止它。但是，光是硬防的成本就相當(dāng)高。企業(yè)如果對成本控制有要求，可以選擇墨家。安全集群防護(hù)和防御能力非常好，成本比阿里云和網(wǎng)易云低。

DDos攻擊基本無法解決。

防御方法基本都是隱藏服務(wù)器的源IP，使用高安全器，加CDN等死。唯一需要保護(hù)的是混合了DDos攻擊的其他類型的攻擊。

一般沒人閑著去攻擊一個純流量的站。阿里云和其他幾家大的IDC公司在這方面有專門的解決方案。當(dāng)你遇到他們時，請他們幫忙。

dns防護(hù)怎么做？

1.授權(quán)dns服務(wù)器限制名稱服務(wù)器的遞歸查詢功能，遞歸DNS服務(wù)器要限制遞歸訪問的客戶端(白名單IP段啟用)。

2.區(qū)域轉(zhuǎn)移在限制區(qū)域內(nèi)傳輸，在主從同步DNS服務(wù)器范圍內(nèi)啟用白名單。不在列表中的DNS服務(wù)器不允許同步區(qū)域文件。

允許傳輸{ }

允許更新{ }

3.啟用黑名單和白名單

已知攻擊IP被bind列入黑名單，或者防火墻上；

設(shè)置允許通過acl訪問的IP網(wǎng)段；

設(shè)置允許通過acl訪問的IP網(wǎng)段；設(shè)置允許通過acl訪問的IP網(wǎng)段；

4.隱藏BIND的版本信息；

5.根綁定；具有非超級用戶權(quán)限；

4.隱藏BIND的版本信息；

5.根綁定；具有非超級用戶權(quán)限；

6.刪除DNS上不必要的其他服務(wù)。創(chuàng)建DNS服務(wù)器系統(tǒng)不應(yīng)安裝Web、POP、gopher、NNTP新聞等服務(wù)。

不建議安裝以下軟件包:

1)X-Windows和相關(guān)軟件包；2)多媒體應(yīng)用軟件包；3)任何不必要的編譯器和腳本解釋語言；4)任何未使用的文本編輯器；5)有害的客戶端程序；6)其他不必要的網(wǎng)絡(luò)服務(wù)。保證域名解析服務(wù)的獨(dú)立性，運(yùn)行域名解析服務(wù)的服務(wù)器不能同時開放其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供；

7.使用dnstop監(jiān)控DNS流量

# yum install libpcap-devel ncurses-devel

下載源代碼#;

9.增強(qiáng)DNS服務(wù)器防御Dos/DDoS的功能。

使用SYN cookie

添加backlog可以在一定程度上緩解大量SYN請求造成的TCP連接阻塞。

縮短重試次數(shù): Linux系統(tǒng)默認(rèn)的TCP _ SYACK _ R: # echo 1gt/proc/sys/net/IP v4/TCP _ Syncookies將此命令添加到文件# 34/etc/RC . d/RC . local # 34；

10.【中間人攻擊】):監(jiān)控域名服務(wù)協(xié)議是否正常，即使用相應(yīng)的服務(wù)協(xié)議或使用相應(yīng)的測試工具向服務(wù)端口發(fā)起模擬請求，分析服務(wù)器返回的結(jié)果，判斷當(dāng)前服務(wù)是否正常，內(nèi)存數(shù)據(jù)是否發(fā)生變化。有條件的話，在不同網(wǎng)絡(luò)部署多個檢測點(diǎn)，進(jìn)行分布式監(jiān)測；

11.【ddos攻擊防范】提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不少于2臺，建議獨(dú)立名稱服務(wù)器數(shù)量為5臺。建議在不同的物理網(wǎng)絡(luò)環(huán)境中部署服務(wù)器并使用入侵檢測系統(tǒng)盡可能檢測中間人攻擊，在域名服務(wù)系統(tǒng)周圍部署擊設(shè)備，使用流量分析等工具檢測DDoS攻擊，以便及時采取應(yīng)急措施。

12.【緩存窺探】防范】:限制遞歸服務(wù)的服務(wù)范圍，只允許特定網(wǎng)段的用戶使用遞歸服務(wù)；

13.【緩存中毒或DNS欺騙】:重點(diǎn)監(jiān)控重要域名解析結(jié)果，報(bào)警提示部署dnssec一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化，及時處理；

14.建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。應(yīng)保留所有最近3個月的分析日志，建議對重要域名信息系統(tǒng)采用7×24維護(hù)機(jī)制，應(yīng)急響應(yīng)時間不晚于30分鐘。