如今，DDOS 攻擊的門檻降低到史無前例的程度。你甚至只需支付幾百塊錢就能購買 DDOS 攻擊服務(wù)。這意味著如果沒有完善的保護(hù)，您的競爭對手可以輕松擊垮您的網(wǎng)站。毫無疑問，您的業(yè)務(wù)站點需要避免遭受 DDoS 攻擊。面對 DDoS 攻擊，我們可以通過保護(hù)服務(wù)器和網(wǎng)絡(luò)來很大程度地防止它。在君君營銷，我們幫助香港服務(wù)器租用客戶來加強和保護(hù)他們的服務(wù)器，并提供高效可靠的香港高防服務(wù)器來實時保護(hù)用戶業(yè)務(wù)安全。今天，我們來討論如何設(shè)置 CentOS服務(wù)器的DDoS 保護(hù)步驟。

　　一、軟件防火墻

　　，我們設(shè)置軟件防火墻，如 APF，CSF 等。設(shè)置的關(guān)鍵在于如何調(diào)整防火墻配置參數(shù)。為緩解 DDoS 攻擊，我們的安全工程師會調(diào)整防火墻配置文件中的某些參數(shù)。例如，在 APF 中，我們在配置文件 “/etc/apf/conf.apf” 中設(shè)置相關(guān)參數(shù)以啟用 Antidos 功能。由于 Antidos 旨在通過 cron 運行，我們始終確保正確設(shè)置 Antidos cron。在 CSF 中，我們啟用并調(diào)整 SYNFLOOD 和 PORTFLOOD 等參數(shù)以防止 DDoS 攻擊。此外，我們調(diào)整 CSF 參數(shù)，如 CT_LIMIT 和 CT_INTERVAL，以限制連接數(shù)。

　　二、配置 iptables

　　在某些情況下，我們的香港服務(wù)器專家使用 iptables 來解決 DDoS 攻擊。DDoS 可以是不同類型的，包括 SYN 泛洪，無效請求，無數(shù) UDP 數(shù)據(jù)包等等。為緩解這些攻擊中的每一種，我們分別使用不同的 iptables 規(guī)則來緩解不同類型的請求。例如，我們使用以下 iptables 規(guī)則來阻止無效的數(shù)據(jù)包。

iptables-tmangle-APREROUTING-mconntrack--ctstateINVALID-jDROP

　　同樣，CentOS 7 使用最新版本的 iptables 并支持新的 SYNPROXY 目標(biāo)。SYNPROXY 檢查發(fā)送 SYN 數(shù)據(jù)包的主機(jī)是否建立 TCP 連接。如果不是，則丟棄該數(shù)據(jù)包。

　　在君君營銷，我們?yōu)橄愀鄯?wù)器租用客戶提供好建議以設(shè)置 iptables 規(guī)則，有效緩解 DDoS 攻擊。

　　三、DDoS deflate

　　對于網(wǎng)站數(shù)量有限的香港服務(wù)器租用客戶，我們的支持工程師建議安裝 DDoS deflate 工具。DDoS deflate 是一個阻止 DDoS 攻擊的 bash 腳本。該腳本使用 netstat 命令跟蹤連接到服務(wù)器的 IP 地址。并且，如果連接數(shù)超過閾值限制，它會自動阻止防火墻中的 IP。此外，我們調(diào)整 DDoS deflate 配置文件 “/usr/local/ddos/ddos.conf” 以調(diào)整閾值連接值，此腳本運行頻率等參數(shù)，以有效解決 DDoS 問題。

　　四、安裝 mod_evasive Apache 模塊

　　Mod_evasive Apache 模塊是我們的香港服務(wù)器專家在 CentOS 中預(yù)防 DDoS 的另一種有效的方法。它在發(fā)生 HTTP DDoS 攻擊或暴力攻擊時起作用。它將發(fā)出 50 多個并發(fā)請求的 IP 地址列入黑名單，并且每秒多次請求同一頁面。此外，我們根據(jù)服務(wù)器配置和流量調(diào)整 “/etc/httpd/conf.d/mod_evasive.conf” 配置文件中的 DOSHashTableSize 3097，DOSPageCount 2，DOSSiteCount 50，DOSPageInterval 1，DOSSiteInterval 1，DOSBlockingPeriod 10 等 mod_evasive 參數(shù)。

　　五、安裝 mod_security

　　DDoS 攻擊者通常以 HTTP 為目標(biāo)。因此，最好有一個 Apache 過濾系統(tǒng)，它可以在 Web 服務(wù)器處理之前過濾請求。Mod_security 是一個具有不同保護(hù)規(guī)則集的 Web 應(yīng)用程序防火墻。它使用這些保護(hù)規(guī)則檢查傳入的 HTTP 流量，并可靠地阻止不需要的惡意流量。在君君營銷，我們建議香港服務(wù)器租用用戶在他們的服務(wù)器中安裝 mod_security。除此之外，我們還創(chuàng)建自定義保護(hù)規(guī)則并將其添加到 mod_security 配置文件 “/usr/local/apache/conf/mod_security.conf ”。

　　六、安裝 AIDE

　　AIDE(高級入侵檢測環(huán)境)是 CentOS 中的入侵檢測系統(tǒng)之一。AIDE 會檢查文件或文件夾的修改時間和完整性，并通知您。換句話說，如果攻擊者在您的系統(tǒng)上放置了惡意軟件，AIDE 會識別它并通知您。我們的安全工程師通過在服務(wù)器中設(shè)置 cron 作業(yè)來運行預(yù)定的 AIDE 檢查。

　　七、安裝 Fail2ban

　　在 CentOS 服務(wù)器中進(jìn)行 DDoS 保護(hù)的另一種有效方法是 Fail2ban。Fail2ban 掃描服務(wù)器日志，并阻止網(wǎng)絡(luò)級別的惡意 IP 地址。Fail2ban 配置文件是 “/etc/fail2ban/jail.local ”，其中包含各種服務(wù)的預(yù)定義過濾器。并且，它使用這些過濾器并使用日志文件進(jìn)行檢查。如果匹配超出閾值，則會阻止源 IP 地址。我們的安全工程師協(xié)助香港服務(wù)器租用者安裝 Fail2ban 并配置 jails。

　　八、實現(xiàn)基于 sysctl 的保護(hù)

　　基于 Sysctl 的保護(hù)是我們的安全工程師在服務(wù)器強化期間采取的關(guān)鍵步驟之一。Sysctl 是一個更改正在運行的 Linux 內(nèi)核的接口，我們在 /etc/sysctl.conf 中配置 Linux 網(wǎng)絡(luò)和系統(tǒng)設(shè)置。最重要的是，我們關(guān)注 net.ipv4.conf.all.rp_filter = 1(允許防止 IP 欺騙)，net.ipv4.tcp_syncookies = 1(允許 TCP SYN Cookie 保護(hù))等 sysctl.conf 參數(shù)。此外，我們在 /etc/rc.local 中添加相關(guān)代碼并重新啟動網(wǎng)絡(luò)。

　　九、限制用戶權(quán)限

　　Centos DDoS 保護(hù)的另一個重要步驟是限制服務(wù)器上的用戶權(quán)限，包括禁用直接 root 登錄，基于密鑰的訪問設(shè)置，設(shè)置自定義 SSH 端口等。

　　十、定期安全審核

　　最重要的是，您應(yīng)該定期審核您的系統(tǒng)和網(wǎng)絡(luò)。在君君營銷，我們有一個服務(wù)器管理團(tuán)隊，定期檢查服務(wù)器的漏洞。我們使用 Rkhunter，chkrootkit 等工具。在服務(wù)器中查找 rootkit，后門，漏洞，更改的二進(jìn)制文件等。我們還使用 Nmap，Nessus 等工具來執(zhí)行網(wǎng)絡(luò)漏洞審核。此外，我們制定并執(zhí)行維護(hù)清單，涵蓋服務(wù)器的所有安全方面，如軟件漏洞，內(nèi)核升級，開放端口等。

　　十一、手動阻止

　　當(dāng)服務(wù)器因 DDoS 攻擊而關(guān)閉時，手動阻止違規(guī) IP 也會有所幫助。我們的安全工程師使用腳本命令識別違規(guī) IP(通過 TCP / UDP 連接到服務(wù)器的頂級 IP 地址)。根據(jù)我們的經(jīng)驗，如果來自 IP 的數(shù)據(jù)包數(shù)量少于 50，這是正常的，如果它超過 200，則很可能是 DDoS 攻擊。

　　十二、設(shè)置負(fù)載平衡器

　　另一種防御 DDoS 的好方法是在服務(wù)器上設(shè)置負(fù)載均衡器。如果服務(wù)器處于 DDoS 或不可用，則負(fù)載平衡器通過將實時流量從一個服務(wù)器重新路由到另一個服務(wù)器來增加靈活性。因此，它消除了單一故障點并減少了攻擊風(fēng)險。除此之外，我們調(diào)整參數(shù)，如每個用戶的連接數(shù)，http 請求超時設(shè)置等，以緩解 DDoS 攻擊。

　　十三、采用香港高防服務(wù)器

　　如果您的網(wǎng)站正在遭受大規(guī)模的 DDoS 攻擊，或者您經(jīng)營的業(yè)務(wù)存在 DDoS 高風(fēng)險，我們建議您啟用香港高防服務(wù)器，我們的香港高防服務(wù)器基于智能攻擊檢測和流量清洗，可以自動檢測全品類的 DDoS 變種攻擊，并自動切換到高防線路，通過海量帶寬清洗惡意流量和返注正常流量。DDoS 防御能力高達(dá) 600Gbps，且支持壓力測試和防御無效退款承諾。

　　總之，DDoS 攻擊可以使網(wǎng)站崩潰，停止服務(wù)。DDoS 沒有好的解決方案，但我們可以通過保護(hù)服務(wù)器和網(wǎng)絡(luò)來在很大程度上防止它。今天，我們?yōu)槟唵谓榻B了 CentOS 服務(wù)器 DDoS 保護(hù)的 13 個不同步驟以及我們的香港服務(wù)器管理團(tuán)隊如何實現(xiàn)它們，希望對您有所啟發(fā)。