サーバーへのDDoS攻撃を防ぐ方法

8月25日夜、ハマーの「ナッツフォン」の発売が何らかの理由で延期され、PPTには多くの誤りや欠落があり、紅包の受け取りにも問題がありました。これは、ハマーの公式サイトのサーバーが数十Gのトラフィックを伴う悪意のあるDDoS攻撃に遭遇したためであると報じられました。現場のPPTも急いで作成され、執筆中に使用されました。良い発売会見がDDoS攻撃によって台無しになりました。

分散型サービス拒否 (DDoS) は、一般的なネットワーク攻撃方法です。英語の正式名称は Distributed Denial of Service です。簡単に言うと、多くの DoS 攻撃元が同時にサーバーを攻撃して DDOS 攻撃を形成し、サービス拒否攻撃の威力を倍増させます。通常、攻撃者はエージェント プログラムを通じてネットワーク上のさまざまな「ゾンビ」に攻撃プログラムをインストールし、エージェント プログラムは指示を受信すると攻撃を開始します。

DDoS攻撃は極めて有害で、防止が困難です。ウェブサイトのダウンタイムやサーバーの麻痺を直接引き起こし、権威の失墜、ブランドの汚名、財産の損失など、多大な損失をもたらし、中国のインターネット情報セキュリティの発展に深刻な脅威をもたらします。

図: DDoS 攻撃図

インターネット上でDDOS攻撃が蔓延するにつれて、DDoSの防止はより困難になります。データによれば、今年の第 2 四半期の DDoS 攻撃活動は前年比 132% 増加し、新たな記録を樹立しました。そのうち、最大のDDoS攻撃は、ピーク時のトラフィックが240Gbpsを超え、13時間以上続きました。現在、ハッカーは攻撃に値段をつけています。ウェブサイトに1Gのトラフィックを1時間送信するのにかかる費用はわずか50元です。 DDoS のコストは非常に低く、その使用は蔓延しており、攻撃を気にする人はいません。では、大多数の Web サイト ユーザーは、効果的に身を守るためにどのような対策を講じるべきでしょうか。次に、DDoS攻撃に対する基本的な防御方法を紹介します。

1. サーバーシステムのセキュリティを確保する

まず、攻撃者の侵入を防ぐために、サーバー ソフトウェアに脆弱性がないことを確認します。サーバーが最新のシステムおよびセキュリティ パッチを使用していることを確認します。使用されていないサービスを削除し、サーバー上の使用されていないポートを閉じます。サーバー上で実行されている Web サイトについては、最新のパッチで更新され、セキュリティ上の脆弱性がないことを確認してください。

2. サーバーの実際のIPアドレスを隠す

サーバーのフロントエンドには、CDNトランジット（無料のものには、Baidu Cloud Acceleration、360 Website Guardian、Accelerator、Safe Securityなどが含まれます）が追加されています。十分な資金がある場合は、防御力の高いシールドマシンを購入して、サーバーの実際のIPを隠すことができます。ドメイン名の解決にはCDN IPが使用され、解決されたすべてのサブドメインはCDN IPアドレスを使用します。さらに、サーバー上に展開されている他のドメイン名は実際の IP アドレスを使用して解決することはできず、すべて CDN を使用して解決する必要があります。

また、サーバーが外部に情報を送信するときに IP アドレスが漏洩するのを防ぐために、最も一般的な状況は、メール ヘッダーによってサーバーの IP アドレスが漏洩するため、サーバーがメール送信機能を使用しないことです。メールを送信する必要がある場合は、サードパーティのプロキシ (sendcloud など) を介して送信し、外部に表示される IP がプロキシの IP アドレスになるようにすることができます。

つまり、サーバーの実 IP が漏洩しない限り、10G 未満の小規模トラフィックの DDOS の防止にはそれほどコストがかからず、無料の CDN で対応できるということです。攻撃トラフィックが20Gを超えると、無料のCDNでは耐えられない可能性があり、対処するために防御力の高いシールドマシンを購入する必要があり、サーバーの実IPも隠す必要があります。

元のタイトル: サーバーへの DDoS 攻撃を防ぐ方法

キーワード: