暗网潜航——DDoS(四):攻守相赴(五)
庞博文
2021-01-18 04:16 HKT
字体大小
虽然「消极式防御」只能「缓减」,却无法根绝或逃避分散式阻断服务攻击(DDoS),但总比甚么都不做好多了。绝大部份系统在在网络上死了也不知道,他们不过是不断轮回,在重启和被打死的无间地狱之间。
要实行消极式防御,但又面对以「能跑就算」的系统配置,甚至程式码混乱,充满Bug及逻辑错误时,那就安装一道EAL等级的软件防火墙吧!同时防火墙里只构建白名单,除了必须的对外连接、程序及功能外,其他全部阉割关掉,并在网站层面设置沙盒及reCAPTCHA,把一切机械人全部挡走。
之后紧记把系统和软件全部记录成列表,告诉IT部门每一日第一件事,就是先看有甚么更新。更新后还要记得使用扫描器,进行漏洞及除错扫描。
如果你不懂得计算系统所需的网络资源或负载量,那就找一个能够提供「内容传递网络」(CDN)的供应商,把你的网站内容分散负载。
另一方面,你也要明白系统遭受DDoS攻击,并不止发生在你内部网络系统上,你上游的网络供应商也有可能受袭。所以要设置后备网络供应商,一个死了用后备系统,用另一条线路顶上。最后是找Anti-DDoS供应商及网络危机监控中心帮忙抵挡攻击、漏洞扫描,以及警示更新和危机,反正你没有那么多资源进行安全监控,也不懂得怎样做。
可能你会想,要实行消极式防御,不是要花额外成本吗?没错!你先天不足也不懂得怎样保养维持健康,如果不花钱购买补品及聘请看护,还可以怎样?这些方法至少可令你的系统面对攻击时,仍可提供部份服务。
TOZ联合创办人
庞博文
要实行消极式防御,但又面对以「能跑就算」的系统配置,甚至程式码混乱,充满Bug及逻辑错误时,那就安装一道EAL等级的软件防火墙吧!同时防火墙里只构建白名单,除了必须的对外连接、程序及功能外,其他全部阉割关掉,并在网站层面设置沙盒及reCAPTCHA,把一切机械人全部挡走。
之后紧记把系统和软件全部记录成列表,告诉IT部门每一日第一件事,就是先看有甚么更新。更新后还要记得使用扫描器,进行漏洞及除错扫描。
如果你不懂得计算系统所需的网络资源或负载量,那就找一个能够提供「内容传递网络」(CDN)的供应商,把你的网站内容分散负载。
另一方面,你也要明白系统遭受DDoS攻击,并不止发生在你内部网络系统上,你上游的网络供应商也有可能受袭。所以要设置后备网络供应商,一个死了用后备系统,用另一条线路顶上。最后是找Anti-DDoS供应商及网络危机监控中心帮忙抵挡攻击、漏洞扫描,以及警示更新和危机,反正你没有那么多资源进行安全监控,也不懂得怎样做。
可能你会想,要实行消极式防御,不是要花额外成本吗?没错!你先天不足也不懂得怎样保养维持健康,如果不花钱购买补品及聘请看护,还可以怎样?这些方法至少可令你的系统面对攻击时,仍可提供部份服务。
TOZ联合创办人
庞博文
更多文章