一種SmartRack防止DDOS攻擊的優(yōu)化方法【專(zhuān)利摘要】本發(fā)明公開(kāi)一種SmartRack防止DDOS攻擊的優(yōu)化方法,涉及網(wǎng)絡(luò)安全防護(hù)領(lǐng)域,首先通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊���,管理員通過(guò)設(shè)置table,chain以及相關(guān)的規(guī)則來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾和NAT來(lái)避免DDOS攻擊�;并通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊,通過(guò)配置IP地址白名單�����,定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè)���,最大連接IP數(shù)等手段���,使得系統(tǒng)環(huán)境具有抵御DDOS攻擊的能力。本發(fā)明通過(guò)配置SmartRack服務(wù)器加強(qiáng)抵御DDoS攻擊��,可以大大提升互聯(lián)網(wǎng)安全��,極大增強(qiáng)SmartRack服務(wù)器安全性能�����?����!緦?zhuān)利說(shuō)明】一種SmartRack防止DDOS攻擊的優(yōu)化方法[0001]
技術(shù)領(lǐng)域:
[0002]本發(fā)明涉及網(wǎng)絡(luò)安全防護(hù)領(lǐng)域�,具體的說(shuō)是一種SmartRack防止DDOS攻擊的優(yōu)化方法。【
背景技術(shù):
】[0003]分布式拒絕服務(wù)(DDoS)攻擊指借助于客戶/服務(wù)器技術(shù)���,將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)����,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊��,從而成倍地提高拒絕服務(wù)攻擊的威力�����。通常�����,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上�����,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊��,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上��。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊���。利用客戶/服務(wù)器技術(shù)����,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行����。[0004]DDoS攻擊通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源,以達(dá)到癱瘓網(wǎng)絡(luò)的目的���。這種攻擊方式可分為以下幾種:1.通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊����;2.通過(guò)向服務(wù)器提交大量請(qǐng)求��,使服務(wù)器超負(fù)荷;3.阻斷某一用戶訪問(wèn)服務(wù)器;4.阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊�。[0005]被DDoS攻擊時(shí)的現(xiàn)象:被攻擊主機(jī)上有大量等待的TCP連接;網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包�����,源地址為假��;制造高流量無(wú)用數(shù)據(jù)�,造成網(wǎng)絡(luò)擁塞���,使受害主機(jī)無(wú)法正常和外界通訊;利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷,反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求����,使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求;嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。對(duì)于許多組織來(lái)說(shuō)��,攻擊可能對(duì)資產(chǎn)負(fù)債表造成了嚴(yán)重影響�,影響公司聲譽(yù),并且?guī)?lái)合作伙伴和客戶無(wú)法訪問(wèn)網(wǎng)絡(luò)資源的情況�����,造成致命的打擊���。[000?]SmartRack以標(biāo)準(zhǔn)機(jī)柜為設(shè)計(jì)單位,統(tǒng)一對(duì)其搭載的服務(wù)器節(jié)點(diǎn)進(jìn)行供電�����、散熱和管理�,其支持多種形態(tài)的計(jì)算和存儲(chǔ)節(jié)點(diǎn),面向海量數(shù)據(jù)的存儲(chǔ)和處理���,特別適合云計(jì)算��、大數(shù)據(jù)處理等應(yīng)用���,因此其安全問(wèn)題越來(lái)越重要��,同時(shí)面臨著DDoS攻擊的危險(xiǎn)���。【
發(fā)明內(nèi)容】[0007]本發(fā)明針對(duì)目前需求以及現(xiàn)有技術(shù)發(fā)展的不足之處����,提供一種SmartRack防止DDOS攻擊的優(yōu)化方法。[0008]本發(fā)明所述一種SmartRack防止DDOS攻擊的優(yōu)化方法�����,解決上述技術(shù)問(wèn)題采用的技術(shù)方案如下:所述SmartRack防止DDOS攻擊的優(yōu)化方法����,首先通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置����,然后通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊����,進(jìn)行優(yōu)化SmartRack服務(wù)器來(lái)防止DDOS攻擊�����。[0009]優(yōu)選的�,通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置��,具體操作如下:I)屏蔽最常見(jiàn)的攻擊;2)為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口����;3)設(shè)置通用規(guī)貝IJ;4)保持并執(zhí)行服務(wù)。[0010]優(yōu)選的���,所述屏蔽最常見(jiàn)的攻擊,主要是指清空iptables中的所有的規(guī)則�����,以及設(shè)置阻止簡(jiǎn)單掃描和攻擊的規(guī)則����。[0011]優(yōu)選的����,所述為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口�����,主要是指接受本機(jī)1calhost的任何請(qǐng)求�����,對(duì)于不同的服務(wù)需要開(kāi)放不同的端口�。[0012]優(yōu)選的,所述設(shè)置通用規(guī)則�����,其內(nèi)容主要包括��,首先允許所有從服務(wù)器端發(fā)起的連接��,最后設(shè)置缺省的策略:屏蔽任何進(jìn)入的數(shù)據(jù)請(qǐng)求��,允許所有從服務(wù)器發(fā)出的請(qǐng)求��。[0013]優(yōu)選的����,所述保持并執(zhí)行服務(wù)�,其操作主要包括���,首先查看一下設(shè)置是否正確�,確認(rèn)沒(méi)有問(wèn)題后����,執(zhí)行命令Serviceiptablessave,執(zhí)行上述命令后�,相應(yīng)的規(guī)則會(huì)寫(xiě)入/etc/sysconfig/iptables這個(gè)文件;最后重新啟動(dòng)iptables防火墻設(shè)置生效。[0014]優(yōu)選的���,通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊�����,具體操作如下:I)配置IP地址白名單;2)定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè);3)設(shè)置最大連接IP數(shù)和設(shè)置禁止IP時(shí)間���。[0015]本發(fā)明所述一種SmartRack防止DDOS攻擊的優(yōu)化方法與現(xiàn)有技術(shù)相比具有的有益效果是:本發(fā)明通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊�����,管理員通過(guò)設(shè)置table,chain以及相關(guān)的規(guī)則來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾和NAT來(lái)避免DDOS攻擊;并通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊�����,通過(guò)配置IP地址白名單����,定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè),最大連接IP數(shù)等手段使得系統(tǒng)環(huán)境具有抵御DDOS攻擊的能力;采用本發(fā)明所述優(yōu)化方法�����,通過(guò)配置SmartRack服務(wù)器加強(qiáng)抵御DDoS攻擊���,可以大大提升互聯(lián)網(wǎng)安全���,極大增強(qiáng)SmartRack服務(wù)器安全性能,使得SmartRack服務(wù)器具備更廣闊的應(yīng)用空間�����?�!揪唧w實(shí)施方式】[0016]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下結(jié)合具體實(shí)施例��,對(duì)本發(fā)明所述一種SmartRack防止DDOS攻擊的優(yōu)化方法進(jìn)一步詳細(xì)說(shuō)明���。[0017]本發(fā)明所提出的SmartRack防止DDOS攻擊的優(yōu)化方法����,通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊����,iptables是Linux內(nèi)核中內(nèi)置的防火墻,管理員能夠通過(guò)設(shè)置table��、chain以及相關(guān)的規(guī)則來(lái)進(jìn)行數(shù)據(jù)包過(guò)濾和NAT來(lái)避免DDOS攻擊;并通過(guò)安裝DDoSdeflate進(jìn)行環(huán)境配置抵御DDOS攻擊��,通過(guò)配置IP地址白名單���,定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè)�����,最大連接IP數(shù)等手段使得系統(tǒng)環(huán)境具有抵御DDOS攻擊的能力��。通過(guò)本發(fā)明所述SmartRack防止DDOS攻擊的優(yōu)化方法�����,能夠極大優(yōu)化SmartRack服務(wù)器來(lái)防止DDOS攻擊��。[0018]實(shí)施例:本實(shí)施例所述一種SmartRack防止DDOS攻擊的優(yōu)化方法�,首先通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊����,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置,然后通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊����,進(jìn)行優(yōu)化SmartRack服務(wù)器來(lái)防止DDOS攻擊。[0019]本實(shí)施例所述SmartRack防止DDOS攻擊的優(yōu)化方法���,通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊����,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置�����,具體操作如下:I)屏蔽最常見(jiàn)的攻擊:清空iptables中的所有的規(guī)則:iptables-F設(shè)置阻止簡(jiǎn)單掃描和攻擊的規(guī)則iptables-AINPUT-ptcp—tcp-flagsALLNONE-jDROP#NONE包(所有標(biāo)識(shí)bit都沒(méi)有設(shè)置)主要是掃描類(lèi)的數(shù)據(jù)包iptables-AINPUT-ptcp!—syn-mstate—8七&七6肥?-」01?0?#防止8501(3-;1^100(1攻擊iptables-AINPUT-ptcp—tcp-flagsALLALL-jDROP#ALL包(所有的標(biāo)注bit都被設(shè)置了)也是網(wǎng)絡(luò)掃描的數(shù)據(jù)包�;2)為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口:首先接受本機(jī)1calhost的任何請(qǐng)求,否則�,數(shù)據(jù)庫(kù)連接等將無(wú)法工作;iptables-AINPUT-1lo-jACCEPT對(duì)于不同的服務(wù)需要開(kāi)放不同的端口iptables-AINPUT-ptcp—dport22-jACCEPT#SSHiptables-AINPUT-ptcp—dport80-jACCEPT#HTTPiptables-AINPUT-ptcp—dport443-jACCEPT#HTTPSiptables-AINPUT-ptcp—dport25-jACCEPT#SMTPiptables-AINPUT-ptcp—dport465-jACCEPT#SecureSMTPiptables-AINPUT-ptcp—dportllO-jACCEPT#POP3iptables-AINPUT-ptcp—dport995-jACCEPT#SecureP0P3iptables-AINPUT-ptcp—dportl43-jACCEPT#IMAPiptables-AINPUT-ptcp—dport993-jACCEPT#SecureIMAP3)設(shè)置通用規(guī)則:首先要允許所有從服務(wù)器端發(fā)起的連接�����,由此返回的響應(yīng)數(shù)據(jù)應(yīng)該是允許的����!比如VPS發(fā)起的yumupdate,必須要允許外部的update數(shù)據(jù)進(jìn)來(lái)iptables-1INPUT-mstate—stateESTABLISHED,RELATED-jACCEPT最后��,設(shè)置缺省的策略:屏蔽任何進(jìn)入的數(shù)據(jù)請(qǐng)求�,允許所有從服務(wù)器發(fā)出的請(qǐng)求iptables-POUTPUTACCEPT〈/p>iptables-PINPUTDROP至此,規(guī)則設(shè)置完畢4)保持并執(zhí)行服務(wù):首先通過(guò)下面的命令查看一下設(shè)置是否正確��!iptable-L-n確認(rèn)沒(méi)有問(wèn)題后�,執(zhí)行下面的命令Serviceiptablessave執(zhí)行上述命令后,相應(yīng)的規(guī)則會(huì)寫(xiě)入/etc/sysconfig/iptables這個(gè)文件�,你可以檢查一下看看。[0020]最后執(zhí)行Serviceiptablesrestart.重新啟動(dòng)iptabIes防火墻設(shè)置生效��。[0021]本實(shí)施例所述SmartRack防止DDOS攻擊的優(yōu)化方法,所述通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊�,具體操作如下:I)首先安裝DDoSdeflate,配置IP地址白名單��;配置DDoSdeflate的配置文件/usr/local/ddos/ddos.confIP地址白名單IGN0RE_IP_LIST=〃/usr/local/ddos/ignore.1p.list〃2)定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè)�;定時(shí)執(zhí)行程序CRON="/etc/cron.d/ddos.cron"檢查時(shí)間間隔���,默認(rèn)I分鐘FREQ=I3)設(shè)置最大連接IP數(shù)和設(shè)置禁止IP時(shí)間���;設(shè)置最大連接數(shù)N0_0F_C0NNECT10NS=150使用iptables模式APF_BAN=0屏蔽IPKILL=I當(dāng)IP被屏蔽時(shí)給指定郵箱發(fā)送郵件EMAIL_T0=〃root〃禁用IP時(shí)間,默認(rèn)600秒BAN_PER10D=600���。[0022]上述【具體實(shí)施方式】?jī)H是本發(fā)明的具體個(gè)案��,本發(fā)明的專(zhuān)利保護(hù)范圍包括但不限于上述【具體實(shí)施方式】�����,任何符合本發(fā)明的權(quán)利要求書(shū)的且任何所屬
技術(shù)領(lǐng)域:
的普通技術(shù)人員對(duì)其所做的適當(dāng)變化或替換���,皆應(yīng)落入本發(fā)明的專(zhuān)利保護(hù)范圍?��!局鳈?quán)項(xiàng)】1.一種SmartRack防止DDOS攻擊的優(yōu)化方法�,其特征在于,首先通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊�����,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置����,然后通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊,進(jìn)行優(yōu)化SmartRack服務(wù)器來(lái)防止DDOS攻擊���。2.根據(jù)權(quán)利要求1所述一種SmartRack防止DDOS攻擊的優(yōu)化方法��,其特征在于���,通過(guò)設(shè)置系統(tǒng)內(nèi)置的防火墻屏蔽DDOS攻擊,通過(guò)內(nèi)置的iptables進(jìn)行設(shè)置��,具體操作如下:I)屏蔽最常見(jiàn)的攻擊;2)為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口��;3)設(shè)置通用規(guī)則;4)保持并執(zhí)行服務(wù)���。3.根據(jù)權(quán)利要求2所述一種SmartRack防止DDOS攻擊的優(yōu)化方法����,其特征在于,所述屏蔽最常見(jiàn)的攻擊���,主要是指清空iptables中的所有的規(guī)則�,以及設(shè)置阻止簡(jiǎn)單掃描和攻擊的規(guī)則�。4.根據(jù)權(quán)利要求3所述一種SmartRack防止DDOS攻擊的優(yōu)化方法,其特征在于����,所述為相應(yīng)的服務(wù)開(kāi)放對(duì)應(yīng)的端口����,主要是指接受本機(jī)1calhost的任何請(qǐng)求,對(duì)于不同的服務(wù)需要開(kāi)放不同的端口����。5.根據(jù)權(quán)利要求4所述一種SmartRack防止DDOS攻擊的優(yōu)化方法,其特征在于�����,所述設(shè)置通用規(guī)則��,其內(nèi)容主要包括,首先允許所有從服務(wù)器端發(fā)起的連接��,最后設(shè)置缺省的策略:屏蔽任何進(jìn)入的數(shù)據(jù)請(qǐng)求�,允許所有從服務(wù)器發(fā)出的請(qǐng)求。6.根據(jù)權(quán)利要求5所述一種SmartRack防止DDOS攻擊的優(yōu)化方法����,其特征在于,所述保持并執(zhí)行服務(wù)�����,其操作主要包括����,首先查看一下設(shè)置是否正確,確認(rèn)沒(méi)有問(wèn)題后���,執(zhí)行命令Serviceiptablessave�,執(zhí)行上述命令后����,相應(yīng)的規(guī)則會(huì)寫(xiě)入/etc/sysconfig/iptables這個(gè)文件;最后重新啟動(dòng)iptables防火墻設(shè)置生效。7.根據(jù)權(quán)利要求1或2所述一種SmartRack防止DDOS攻擊的優(yōu)化方法����,其特征在于�,通過(guò)安裝DDoSdeflate并進(jìn)行環(huán)境配置抵御DDOS攻擊�����,具體操作如下:I)配置IP地址白名單�����;2)定時(shí)執(zhí)行網(wǎng)絡(luò)檢測(cè);3)設(shè)置最大連接IP數(shù)和設(shè)置禁止IP時(shí)間��?!疚臋n編號(hào)】H04L29/06GK105827615SQ201610253066【公開(kāi)日】2016年8月3日【申請(qǐng)日】2016年4月22日【發(fā)明人】白云峰【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司