DOS防护实践总结

　　

　　我司DDoS攻防工程师总结的经验，企业客户在DDoS防护体系建设上通常需要开展的工作有：

　　

　　应用系统开发过程中持续消除性能瓶颈，提升性能

　　

　　通过各类优化技术，提升应用系统的并发、新建以及数据库查询等能力，减少应用型DDOS攻击类型的潜在危害；

　　

　　定期扫描和加固自身业务设备

　　

　　定期扫描现有的网络主节点及主机，清查可能存在的安全漏洞和不规范的安全配置，对新出现的漏洞及时进行清理，对于需要加强安全配置的参数进行加固；

　　

　　确保资源冗余，提升耐打能力

　　

　　建立多节点负载均衡，准备好电信，联通，移动，三个方向的强大防护资源，配备多线路高带宽，配备强大的运算能力，借此“吸收”DDoS攻击；随时到会有攻击，保持有一组备份Ip是平时没有启用的，一发现攻击，随时可以启用备用方案。

　　

　　服务最小化，关停不必要的服务和端口

　　

　　关停不必要的服务和端口，实现服务最小化，例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率；

　　

　　选择专业的产品和服务

　　

　　三分产品技术，七分设计服务，除了防护产品本身的功能、性能、稳定性，易用性等方面，还需要考虑防护产品厂家的技术实力，服务和支持能力，应急经验等；

　　

　　多层监控、纵深防御

　　

　　从骨干网络、IDC入口网络的BPS、PPS、协议分布，负载均衡层的新建连接数、并发连接数、BPS、PPS到主机层的CPU状态、TCP新建连接数状态、TCP并发连接数状态，到业务层的业务处理量、业务连通性等多个点部署监控系统。即使一个监控点失效，其他监控点也能够及时给出报警信息。多个点信息结合，准确判断被攻击目标和攻击手法；

　　

　　完备的防御组织

　　

　　囊括到足够全面的人员，至少包含监控部门、运维部门、网络部门、安全部门、客服部门、业务部门等，所有人员都需要2-3个备份

　　

　　明确并执行应急流程

　　

　　提前演练，应急流程启动后，除了人工处理，还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析，确定攻击类型，自动化、半自动化的防御策略，在安全人员到位之前，最先发现攻击的部门可以做一些缓解措施。

　　

　　假设来攻击了，哪种方式切换最快与有效，提前演练好切换的整个过程，列出可能存在的因素，

　　

　　总结

　　

　　针对DDoS防御，主要的工作是幕后积累，在没有充分的资源准备，没有足够的应急演练，没有丰富的处理经验，DDoS攻击将会造成灾难性的后果。

　　

　　同时，防护商要有足够的资源调度，如联通，电信，移动方向的防护资源，随时调度解决用户互通之间问题，通过BGP回源通信。

　　

　　锐速拥有自主运营的数据中心，全网超过1000G的超级防御能力。投入巨资自主研发高性能抗DDoS、CC防火墙，始终以客户“零部署”、“零维护”、方便快捷、简单易用为产品研发的基准，打造一站式的综合服务平台，致力于为广大政府、中小企、互联网金融、电子商务平台、CDN服务商、云计算服务商等互联网企业，提供高品质的云安全防御技术解决方案。

　　

　　拥有超过30人核心研发及支撑团队，具备丰厚的防火墙底层设计、网络监控、数据分析、快速定位解决问题等实战经验。并提供7 x 24小时不间断在线售后支撑服务，用户更省心，更安心

　　

　　专注、创新! 专注云计算安全技术的研究、开发和应用，深入了解客户的需求；追求创新，致力于成为全球领先的云安全综合服务平台，竭诚为广大企业用户提供高效、专业的服务。官网：http://www.ruisuyun.com/