设置说明
配置 Web 服务器服务以防止小型攻击、洪水和密码猜测攻击。 此类攻击旨在增加 Web 服务的负载,消耗服务器资源,并因资源耗尽和缺乏而导致拒绝服务。 本指南允许您配置服务器以获得针对服务器级别不同类型攻击的基本保护。 在我们的配置示例中,我们使用 Centos 7 操作系统。
与DDOS攻击防护服务有什么区别?
服务针对 DDOS 攻击的保护 以受保护的 IP 地址的形式提供,其流量通过特殊设备并防止中型和大型攻击,这些攻击旨在使网络设备瘫痪。 但它无法保护服务免受轻微洪水的影响,这也可能造成损害,因为由于访问 Web 服务器的机器人数量较少,它根本无法识别它。 在采用正确的服务器保护方法的情况下,洪水防护和 DDoS 攻击防护这两条规则均适用。 在这里,我们将描述如何配置您的网络服务器以防止其遭受洪水攻击。
网页服务
根据您选择的 Web 服务器,有不同的方法和类型的设置。 我们列出了最流行的 Web 服务并描述了每个服务的设置。
防止暴力攻击
这种类型的攻击极大地增加了 Web 服务的负载。 攻击者在网站管理区域提供登录表单的链接,并在多个机器人上启动该链接,这些机器人开始使用 get 和 post 方法猜测密码。 在日志中,您将看到来自同一 IP 地址的数百、数千个请求。 它们可能会产生大量负载并导致 Web 服务失败。 为了进行保护,我们将使用 Fail2Ban 服务,如果在 10 分钟内超过同一链路上的请求限制,该服务将阻止该 IP 地址一段时间。 根据我们的经验和观察,通过这种类型的攻击,该服务能够在短时间内阻止大约 5000 个 IP 地址,而不会对服务器造成负载。
防止 SYN Flood 攻击
此类攻击模拟普通网站访问者的请求,但与真实客户端不同的是,僵尸程序不等待服务器响应,而是向 Web 服务发送新请求;当请求数达到数千个时,服务就会冻结并停止响应请求。 这种类型的攻击非常流行,因为它不需要大量资源来禁用未受保护的服务器。 ddos deflate服务完美体现了这种类型的攻击。
设置连接限制
这里我们要讲的是防火墙规则,你需要对所有服务的一个IP地址的连接数量进行限制。 该规则将有助于避免堆栈溢出,其限制是在内核设置中设置的。 我们将在 Centos 上的 iptables 中进行设置。
防止过载和增加平均负载
无论如何,存在不同类型的攻击,如果保护服务没有时间工作或未设置所有过滤器,则攻击期间服务器上的负载将会增加,最终您将无法访问服务器,它会停止响应。 为了在服务器受到攻击时不失去访问权限,我们建议设置一个脚本,在高负载的情况下,该脚本将重新启动必要的服务并执行其他操作。
结论
这种类型的设置将允许您在不损失性能的情况下抵御大多数小型 DDoS 攻击,并且还可以保护站点免受可能的密码猜测。 此设置必须完成一次。 一段时间后,您应该检查日志文件以确保 logrotate 正常工作并且文件占用不超过 5-10 MB。 如果大小较大,则 Fail2Ban 服务可能会因数据量较大而无法正常工作。 通过这样的设置,即使是处理器和内存资源较少的服务器也能稳定工作。 您还将通过电子邮件收到通知,并且始终知道哪些 IP 地址被阻止以及何时被阻止。