cENTos机器的ddOs防御指南

编辑: admin 分类: 国外服务器 发布时间: 2023-07-08 来源:互联网

  现在,ddos 流量攻击的门槛降低到史无前例的程度.你甚至只需支付几百块钱就能购买 ddos 流量攻击服务.这意味着如果没有完善的保护,您的竞争对手可以轻轻松松击垮您的网站.毫无疑问,您的业务服务站点需要避免遭受 ddos 流量攻击.面对 ddos 流量攻击,大家可以根据保护服务器和网络来很大程度地防止它.在巨牛科技,大家帮助香港服务器租赁客户来加强和保护他们的服务器,并提供高效靠谱的香港高防服务器来实时保护客户业务服务安全性.今天,大家来讨论如何设定 centos服务器的ddos 保护步骤.


  一、软件防火墙

  首先,大家设定软件防火墙,如 apf,csf 等.设定的核心在于如何调整防火墙配置参数.为缓解 ddos 流量攻击,大家的安全性工程师会调整防火墙配置文件中的某些参数.例如,在 apf 中,大家在配置文件 “/etc/apf/conf.apf” 中设定相关参数以启用 antidos 作用.由于 antidos 旨在根据 cron 执行,大家始终确保正确设定 antidos cron.在 csf 中,大家启用并调整 synflood 和 portflood 等参数以防止 ddos 流量攻击.此外,大家调整 csf 参数,如 ct_limit 和 ct_interval,以限制连接数.


  2、配置 iptables

  在某些情况下,大家的香港服务器专家使用 iptables 来解决 ddos 流量攻击.ddos 可以是不同种类的,包括 syn 泛洪,无效请求,无数 udp 信息包等等.为缓解这些流量攻击中的每一种,大家分别使用不同的 iptables 规则来缓解不同种类的请求.例如,大家使用以下 iptables 规则来阻止无效的信息包.

  

iptables-tmangle-aprerouting-mconntrack--ctstateinvalid-jdrop


  同样,centos 7 使用版本的 iptables 并兼容新的 synproxy 目标.synproxy 检查发送 syn 信息包的服务器是否建立 tcp 连接.如果不是,则丢弃该信息包.

  在巨牛科技,大家为香港服务器租赁客户提供建议以设定 iptables 规则,很好地缓解 ddos 流量攻击.


  1、ddos deflate

  对于网站数量有限的香港服务器租赁客户,大家的兼容工程师建议安装 ddos deflate 工具.ddos deflate 是一个阻止 ddos 流量攻击的 bash 脚本.该脚本使用 netstat 命令跟踪连接到服务器的 ip 地址.而且,如果连接数超过阈值限制,它会全自动阻止防火墙中的 ip.此外,大家调整 ddos deflate 配置文件 “/usr/local/ddos/ddos.conf” 以调整阈值连接值,此脚本执行频率等参数,以很好地解决 ddos 问题.


  4、安装 mod_evasive apache 模块

  mod_evasive apache 模块是大家的香港服务器专家在 centos 中预防 ddos 的另一种很好地的方法.它在发生 http ddos 流量攻击或暴力流量攻击时起功能.它将发出 50 许多并发请求的 ip 地址列进黑名单,而且每秒多次请求同一页面.此外,大家依据服务器配置和流量调整 “/etc/httpd/conf.d/mod_evasive.conf” 配置文件中的 doshashtablesize 3097,dospagecount 2,dossitecount 50,dospageinterval 1,dossiteinterval 1,dosblockingperiod 10 等 mod_evasive 参数.



  5、安装 mod_security

  ddos 流量攻击者通常以 http 为目标.因此,有一个 apache 过滤系统,它可以在 网站 服务器处理之前过滤请求.mod_security 是一个具备不同保护规则集的 网站 运用程序防火墙.它使用这些保护规则检查传进的 http 流量,并靠谱地阻止不需要的恶意流量.在巨牛科技,大家建议香港服务器租赁客户在他们的服务器中安装 mod_security.除此之外,大家还创建自定义保护规则并将其添加到 mod_security 配置文件 “/usr/local/apache/conf/mod_security.conf ”.


  6、安装 aide

  aide(高级黑客侵入检测环境)是 centos 中的黑客侵入检测系统之一.aide 会检查文件或文件夹的修改时间和完整性,并通知您.换句话说,如果流量攻击者在您的系统上存放了恶意软件,aide 会识别它并通知您.大家的安全性工程师根据在服务器中设定 cron 作业来执行预定的 aide 检查.


  7、安装 fail2ban

  在 centos 服务器中开展 ddos 保护的另一种很好地方法是 fail2ban.fail2ban 扫描服务器日志,并阻止网络级别的恶意 ip 地址.fail2ban 配置文件是 “/etc/fail2ban/jail.local ”,其中包含各种服务的预定义过滤器.而且,它使用这些过滤器并使用日志文件开展检查.如果匹配超出阈值,则会阻止源 ip 地址.大家的安全性工程师协助香港服务器租赁者安装 fail2ban 并配置 jails.


  8、完成基于 sysctl 的保护

  基于 sysctl 的保护是大家的安全性工程师在服务器强化期间采取的核心步骤之一.sysctl 是一个更改正在执行的 linux 内核的接口,大家在 /etc/sysctl.conf 中配置 linux 网络和系统设定.最重要的是,大家关注 net.ipv4.conf.all.rp_filter = 1(允许防止 ip 欺骗),net.ipv4.tcp_syncookies = 1(允许 tcp syn cookie 保护)等 sysctl.conf 参数.此外,大家在 /etc/rc.local 中添加相关代码并重新启动网络.


  9、限制客户权限

  centos ddos 保护的另一个重要步骤是限制服务器上的客户权限,包括禁用直接 root 登录,基于密钥的访问设定,设定自定义 ssh 端口等.


  10、定期安全性审核

  最重要的是,您应该定期审核您的系统和网络.在巨牛科技,大家有一个服务器管理团队,定期检查服务器的漏洞.大家使用 rkhunter,chkrootkit 等工具.在服务器中查找 rootkit,后门,漏洞,更改的2进制文件等.大家还使用 nmap,nessus 等工具来执行网络漏洞审核.此外,大家制定并执行维护清单,涵盖服务器的所有安全性方面,如软件漏洞,内核提升,开放端口等.


  10一、手动阻止

  当服务器因 ddos 流量攻击而关闭时,手动阻止违规 ip 也会有所帮助.大家的安全性工程师使用脚本命令识别违规 ip(根据 tcp / udp 连接到服务器的 ip 地址).依据大家的经验,如果来自 ip 的信息包数量少于 50,这是正常的,如果它超过 200,则很可能是 ddos 流量攻击.


  102、设定负荷平衡器

  另一种防护 ddos 的方法是在服务器上设定负荷均衡器.如果服务器处于 ddos 或不可用,则负荷平衡器根据将实时流量从一个服务器重新路由到另一个服务器来增加灵活性.因此,它消除了单一故障点并减少了流量攻击风险.除此之外,大家调整参数,如每个客户的连接数,http 请求超时设定等,以缓解 ddos 流量攻击.


  101、选用香港高防服务器

  如果您的网站正在遭受大规模的 ddos 流量攻击,或者您经营的业务服务存在 ddos 高风险,大家建议您启用香港高防服务器,大家的香港高防服务器基于人工智能流量攻击检测和流量清洗,可以全自动检测全品类的 ddos 变种流量攻击,并全自动转换到高防链路,根据海量带宽清洗恶意流量和返注正常流量.ddos 防护水平高达 600gbps,且兼容压力测试和防护无效退款承诺.


  总之,ddos 流量攻击可以使网站崩溃,停止服务.ddos 没有完美的解决方案,但大家可以根据保护服务器和网络来在很大程度上防止它.今天,大家为您简单介绍了 centos 服务器 ddos 保护的 13 个不同步骤以及大家的香港服务器管理团队如何完成它们,希看对您有所启发.