現(xiàn)在做網(wǎng)絡(luò)游戲的企業(yè)都知道服務(wù)器的安全對于我們來說很重要,互聯(lián)網(wǎng)上面的DDoS攻擊和CC攻擊等等無處不在,而游戲服務(wù)器對服務(wù)器的防御能力和處理能力要求更高,普通的服務(wù)器則是比較注重各方面能力的均衡。
隨著游戲行業(yè)的壯大,網(wǎng)絡(luò)游戲的結(jié)構(gòu)框架也已經(jīng)暴露在網(wǎng)絡(luò)安全的威脅之下,而這里面拒絕服務(wù)DoS攻擊和基于DoS的分布式拒絕服務(wù)DDoS攻擊是最常見的兩種攻擊方式。尤其是DDoS,隨著高速網(wǎng)絡(luò)的不斷普及,更大規(guī)模DDoS攻擊的威脅也越來越大。
面對DDoS攻擊的威脅我們該怎么做呢?
下面小編為大家介紹些解決辦法,希望可以幫助到大家
一、確保服務(wù)器系統(tǒng)安全
1.確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時更新系統(tǒng)補丁。
2.管理員需對所有主機進行檢查,知道訪問者的來源。
3.過濾不必要的服務(wù)和端口,可以使用工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP.只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
4.限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的time out 時間,限制SYN/ICMP流量。
5.正確設(shè)置防火墻,在防火墻上運行端口映射程序或端口掃描程序。
6.認真檢查網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更,那這臺機器就可能遭到了攻擊。
7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會給黑客截取系統(tǒng)文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能無疑會陷入癱瘓。
8.充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源。
9、在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連接超時,垃圾包丟棄,來源偽造的數(shù)據(jù)包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
10、使用高可擴展性的 DNS 設(shè)備來保護針對 DNS 的 DDOS 攻擊??梢钥紤]購買 Cloudfair 的商業(yè)解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。
11、啟用路由器或防火墻的反IP欺騙功能。在 CISCO 的 ASA 防火墻中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點擊“配置”中的“防火墻”,找到“anti-spoofing”然后點擊啟用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內(nèi)網(wǎng)創(chuàng)建 ACL,然后應(yīng)用到互聯(lián)網(wǎng)的接口上。
二、隱藏服務(wù)器的真實IP地址
服務(wù)器防御DDOS攻擊最根本的措施就是隱藏服務(wù)器真實IP地址。當(dāng)服務(wù)器對外傳送信息時就可能會泄露IP,例如,我們常見的使用服務(wù)器發(fā)送郵件功能就會泄露服務(wù)器的IP,因而,我們在發(fā)送郵件時,需要通過第三方代理發(fā)送,這樣子顯示出來的IP是代理IP,因而不會泄露真實IP地址。在資金充足的情況下,可以選擇高防服務(wù)器,且在服務(wù)器前端加CDN中轉(zhuǎn),所有的域名和子域都使用CDN來解析。
三、選擇帶有DDOS硬件防火墻的機房。
目前大部分的硬防機房對100G以內(nèi)的DDOS流量攻擊都能做到有效防護。選擇硬防主要是針對DDOS流量攻擊這一塊的,如果你的企業(yè)網(wǎng)站一直遭受流量攻擊的困擾,那你可以考慮將你的網(wǎng)站服務(wù)器放到DDOS防御機房。但是有的流量攻擊超出了硬防的防護范圍了,那就得考慮下面第二種了。
四、CDN流量清洗防御
目前大部分的CDN節(jié)點都有200G 的流量防護功能,在加上硬防的防護,可以說能應(yīng)付目前絕大多數(shù)的DDOS流量攻擊了。同時,CDN技術(shù)不僅對企業(yè)網(wǎng)站流量攻擊有防護功能,而且還能對企業(yè)網(wǎng)站進行加速(前提要針對CDN節(jié)點位置)。解決部分地區(qū)打開網(wǎng)站緩慢的問題。
五、負載均衡技術(shù)
這一類主要針對DDOS攻擊中的CC攻擊進行防護,這種攻擊手法使web服務(wù)器或其他類型的服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載,一般這些網(wǎng)絡(luò)流量是針對某一個頁面或一個鏈接而產(chǎn)生的。當(dāng)然這種現(xiàn)象也會在訪問量較大的網(wǎng)站上正常發(fā)生,但我們一定要把這些正?,F(xiàn)象和分布式拒絕服務(wù)攻擊區(qū)分開來。在企業(yè)網(wǎng)站加了負載均衡方案后,不僅有對網(wǎng)站起到CC攻擊防護作用,也能將訪問用戶進行均衡分配到各個web服務(wù)器上,減少單個web服務(wù)器負擔(dān),加快網(wǎng)站訪問速度。
六、選擇高防服務(wù)器產(chǎn)品
高防服務(wù)器價格相對較高,但是性能穩(wěn)定靠譜。24小時自動防御,超強防御DDOS/CC攻擊,目前很多游戲公司都會選擇。
七、在骨干節(jié)點配置防火墻
防火墻本身能抵御DDoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導(dǎo)向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。(所以最好游戲服務(wù)器還是用Linux系統(tǒng)來做比較好的)
網(wǎng)頁題目:網(wǎng)絡(luò)游戲如何應(yīng)對DDOS/CC攻擊?
網(wǎng)頁網(wǎng)址:http://m.rwnh.cn/hangye/fwqtg/n7888.html
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)