意见箱
恒创运营部门将仔细参阅您的意见和建议,必要时将通过预留邮箱与您保持联络。感谢您的支持!
意见/建议
提交建议

CentOS服务器的DDoS防护指南

来源:恒创科技 编辑:恒创科技编辑部
2023-08-08 19:00:00

  如今,DDOS 攻击的门槛降低到史无前例的程度。你甚至只需支付几百块钱就能购买 DDOS 攻击服务。这意味着如果没有完善的保护,您的竞争对手可以轻松击垮您的网站。毫无疑问,您的业务站点需要避免遭受 DDoS 攻击。面对 DDoS 攻击,我们可以通过保护服务器和网络来很大程度地防止它。在恒创科技,我们帮助香港服务器租用客户来加强和保护他们的服务器,并提供高效可靠的香港高防服务器来实时保护用户业务安全。今天,我们来讨论如何设置 CentOS服务器的DDoS 保护步骤。


  一、软件防火墙

  首先,我们设置软件防火墙,如 APF,CSF 等。设置的关键在于如何调整防火墙配置参数。为缓解 DDoS 攻击,我们的安全工程师会调整防火墙配置文件中的某些参数。例如,在 APF 中,我们在配置文件 “/etc/apf/conf.apf” 中设置相关参数以启用 Antidos 功能。由于 Antidos 旨在通过 cron 运行,我们始终确保正确设置 Antidos cron。在 CSF 中,我们启用并调整 SYNFLOOD 和 PORTFLOOD 等参数以防止 DDoS 攻击。此外,我们调整 CSF 参数,如 CT_LIMIT 和 CT_INTERVAL,以限制连接数。


  二、配置 iptables

  在某些情况下,我们的香港服务器专家使用 iptables 来解决 DDoS 攻击。DDoS 可以是不同类型的,包括 SYN 泛洪,无效请求,无数 UDP 数据包等等。为缓解这些攻击中的每一种,我们分别使用不同的 iptables 规则来缓解不同类型的请求。例如,我们使用以下 iptables 规则来阻止无效的数据包。

  

iptables-tmangle-APREROUTING-mconntrack--ctstateINVALID-jDROP


  同样,CentOS 7 使用版本的 iptables 并支持新的 SYNPROXY 目标。SYNPROXY 检查发送 SYN 数据包的主机是否建立 TCP 连接。如果不是,则丢弃该数据包。

  在恒创科技,我们为香港服务器租用客户提供建议以设置 iptables 规则,有效缓解 DDoS 攻击。


  三、DDoS deflate

  对于网站数量有限的香港服务器租用客户,我们的支持工程师建议安装 DDoS deflate 工具。DDoS deflate 是一个阻止 DDoS 攻击的 bash 脚本。该脚本使用 netstat 命令跟踪连接到服务器的 IP 地址。并且,如果连接数超过阈值限制,它会自动阻止防火墙中的 IP。此外,我们调整 DDoS deflate 配置文件 “/usr/local/ddos/ddos.conf” 以调整阈值连接值,此脚本运行频率等参数,以有效解决 DDoS 问题。


  四、安装 mod_evasive Apache 模块

  Mod_evasive Apache 模块是我们的香港服务器专家在 CentOS 中预防 DDoS 的另一种有效的方法。它在发生 HTTP DDoS 攻击或暴力攻击时起作用。它将发出 50 多个并发请求的 IP 地址列入黑名单,并且每秒多次请求同一页面。此外,我们根据服务器配置和流量调整 “/etc/httpd/conf.d/mod_evasive.conf” 配置文件中的 DOSHashTableSize 3097,DOSPageCount 2,DOSSiteCount 50,DOSPageInterval 1,DOSSiteInterval 1,DOSBlockingPeriod 10 等 mod_evasive 参数。


CentOS服务器的DDoS防护指南


  五、安装 mod_security

  DDoS 攻击者通常以 HTTP 为目标。因此,有一个 Apache 过滤系统,它可以在 Web 服务器处理之前过滤请求。Mod_security 是一个具有不同保护规则集的 Web 应用程序防火墙。它使用这些保护规则检查传入的 HTTP 流量,并可靠地阻止不需要的恶意流量。在恒创科技,我们建议香港服务器租用用户在他们的服务器中安装 mod_security。除此之外,我们还创建自定义保护规则并将其添加到 mod_security 配置文件 “/usr/local/apache/conf/mod_security.conf ”。


  六、安装 AIDE

  AIDE(高级入侵检测环境)是 CentOS 中的入侵检测系统之一。AIDE 会检查文件或文件夹的修改时间和完整性,并通知您。换句话说,如果攻击者在您的系统上放置了恶意软件,AIDE 会识别它并通知您。我们的安全工程师通过在服务器中设置 cron 作业来运行预定的 AIDE 检查。


  七、安装 Fail2ban

  在 CentOS 服务器中进行 DDoS 保护的另一种有效方法是 Fail2ban。Fail2ban 扫描服务器日志,并阻止网络级别的恶意 IP 地址。Fail2ban 配置文件是 “/etc/fail2ban/jail.local ”,其中包含各种服务的预定义过滤器。并且,它使用这些过滤器并使用日志文件进行检查。如果匹配超出阈值,则会阻止源 IP 地址。我们的安全工程师协助香港服务器租用者安装 Fail2ban 并配置 jails。


  八、实现基于 sysctl 的保护

  基于 Sysctl 的保护是我们的安全工程师在服务器强化期间采取的关键步骤之一。Sysctl 是一个更改正在运行的 Linux 内核的接口,我们在 /etc/sysctl.conf 中配置 Linux 网络和系统设置。最重要的是,我们关注 net.ipv4.conf.all.rp_filter = 1(允许防止 IP 欺骗),net.ipv4.tcp_syncookies = 1(允许 TCP SYN Cookie 保护)等 sysctl.conf 参数。此外,我们在 /etc/rc.local 中添加相关代码并重新启动网络。


  九、限制用户权限

  Centos DDoS 保护的另一个重要步骤是限制服务器上的用户权限,包括禁用直接 root 登录,基于密钥的访问设置,设置自定义 SSH 端口等。


  十、定期安全审核

  最重要的是,您应该定期审核您的系统和网络。在恒创科技,我们有一个服务器管理团队,定期检查服务器的漏洞。我们使用 Rkhunter,chkrootkit 等工具。在服务器中查找 rootkit,后门,漏洞,更改的二进制文件等。我们还使用 Nmap,Nessus 等工具来执行网络漏洞审核。此外,我们制定并执行维护清单,涵盖服务器的所有安全方面,如软件漏洞,内核升级,开放端口等。


  十一、手动阻止

  当服务器因 DDoS 攻击而关闭时,手动阻止违规 IP 也会有所帮助。我们的安全工程师使用脚本命令识别违规 IP(通过 TCP / UDP 连接到服务器的 IP 地址)。根据我们的经验,如果来自 IP 的数据包数量少于 50,这是正常的,如果它超过 200,则很可能是 DDoS 攻击。


  十二、设置负载平衡器

  另一种防御 DDoS 的方法是在服务器上设置负载均衡器。如果服务器处于 DDoS 或不可用,则负载平衡器通过将实时流量从一个服务器重新路由到另一个服务器来增加灵活性。因此,它消除了单一故障点并减少了攻击风险。除此之外,我们调整参数,如每个用户的连接数,http 请求超时设置等,以缓解 DDoS 攻击。


  十三、采用香港高防服务器

  如果您的网站正在遭受大规模的 DDoS 攻击,或者您经营的业务存在 DDoS 高风险,我们建议您启用香港高防服务器,我们的香港高防服务器基于智能攻击检测和流量清洗,可以自动检测全品类的 DDoS 变种攻击,并自动切换到高防线路,通过海量带宽清洗恶意流量和返注正常流量。DDoS 防御能力高达 600Gbps,且支持压力测试和防御无效退款承诺。


  总之,DDoS 攻击可以使网站崩溃,停止服务。DDoS 没有完美的解决方案,但我们可以通过保护服务器和网络来在很大程度上防止它。今天,我们为您简单介绍了 CentOS 服务器 DDoS 保护的 13 个不同步骤以及我们的香港服务器管理团队如何实现它们,希望对您有所启发。


上一篇: 怎样保护Nginx服务器免受DDoS攻击 下一篇: Nginx 和 Apache 的优缺点对比分析