1、减少攻击面

(a) reduce the number of necessary Internet entry points,
(b) eliminate non-critical Internet entry points, 
(c) separate end user traffic from management traffic, 
(d) obfuscate necessary Internet entry points to the level that untrusted end users cannot access them, and 
(e)decouple Internet entry points to minimize the effects of attacks. 

a、减少必要的互联网入口接入点,举个例子,你的用户都是中国,那么在DNS解析的时候,国外用户就不用解析了。或者让他们解析到127.0.0.1去。根据地域的IP来做智能DNS解析;
b、消除非关键互联网入口,比如只开放80端口,只开放必须的域名对外访问,等等;
c、 不要让普通用户走你的管理网络,也就是普通通道和管理通道必须隔离开来。
d、 不可信任的用户禁止访问网络
e、 减少INTERNET接入。
在AWS里,可以创建EC2的安全组,来限制部分IP或者协议访问你的网络;还可以创建VPC的ACL来控制IP网络。最后创建VPN来管理网络。

2、 Be Ready to Scale and Absorb the Attack准备吸收DDOS攻击
 吸收DDOS攻击,有横向和纵向两个方面。
横向吸收就是增加EC2个数,纵向就是增加CPU,网卡,内存。

(1) select the appropriate instance types for your application,
(2) configure services such as Elastic Load Balancing and Auto Scaling to automatically scale, and 
(3) use the inherent scale built into the AWS global services like Amazon CloudFront and Amazon Route 53

a、选择正确的实例类型;用来抗DDOS的EC2,AWS建立你用万兆网卡的实例。。。用半虚拟化的实例,C3, C4, R3, D2, and I2 instances。这些实例可以安装SR-IOV网卡驱动,专门来对抗DDOS。
b、创建ELB负载均衡 
 Because ELB only supports valid TCP requests, DDoS attacks such as UDP and SYN floods are not able to reach your instances.

因为ELB只支持有效的TCP请求,DDoS攻击如UDP和SYN洪水无法到达你的实例。
c、Auto Scaling,AWS很重要的一个功能

Auto Scaling helps you maintain application availability and allows you to scale your
EC2 capacity up or down automatically according to conditions you define. For example,
you can set a condition to incrementally add new instances to the Auto Scaling group
when network traffic is high (typical of DDoS attacks). You can also set a condition to
remove instances in the same increments when network traffic is low. You can use
Amazon CloudWatch to trigger scaling activities and ELB to distribute traffic to your

instances within Auto Scaling groups.
意思就是说:

Auto Scaling可以帮助您保持应用程序的可用性,并允许您扩展您的
EC2容量或根据你定义自动。例如,
您可以设置条件以增量向自动缩放组添加新实例
当网络流量大(典型的DDoS攻击)。您还可以设置条件
当网络流量较低时,删除相同的增量实例。你可以用
亚马逊CloudWatch触发缩放活动和ELB流量分发到你的

自动缩放组中的实例。 
一般EC2的计费是按24小时一计费的。所以,一般自动创建完EC2可以24小时以后再让它自动删除EC2实例。

使用 Auto Scaling有以下一些注意事项:
  How long it takes to launch and configure your servers? If you’re application

takes more than five minutes to start, we recommend having multiple instances
already running your application or low thresholds for scaling.
 一个EC2实例的自动启动大概需要五分钟时间,所以你不要等到你的CPU已经100%或者网络使用已经100%再启动你的新实例,您应该在比如50%以上就要启动新实例了。
 What metrics have the most relevance to your application's performance?
Example metrics for DDoS attacks are CPUUtilization, NetworkIn, and
StatusCheckFailed.
服务状态是否失败。
 What existing resources (such as EC2 instances or AMIs) you might want to use as
part of your Auto Scaling group? You’ll want the same type of instance or higher
capacity running the application under attack for your Auto Scaling group.
你可以设定自动创建的EC2实例,是跟以前一样或者更高配置,比如万兆网卡的实例。 
 To how many AZs do you want the Auto Scaling group to span? We recommend a
minimum of two AZs.
至少需要创建2个AZ实例组 
 How fast should you scale up and down? Keep in mind that DDoS attacks can
come in waves. You don’t want to scale down after the initial wave only to find
out you have to scale back up again.
 一般EC2的计费是按24小时一计费的。所以,一般自动创建完EC2可以24小时以后再让它自动删除EC2实例。
 What is the maximum amount of EC2 instances for the Auto Scaling group?
Additional instances may increase your costs. When you create your Auto
Scaling policy, you can set maximum number of instances. You can also set an
alarm when this maximum number has been reached. See Amazon CloudWatch
for steps on setting alarms.
 可能会造成大量的金额,不过一般只开24小时的话,花不了多少钱,当然你可以设置金额的警报。

3、Amazon CloudFront亚马逊的云服务 
CDN这块抗DDOS就不用说了, 可以把您的流量分到各地去,让攻击者无法找到您真正的原站资源。

Amazon CloudFront还具有过滤功能,以确保只有有效的TCP连接和HTTP请求而放弃无效的请求

4、Amazon Route 53,亚马逊的智能DNS服务 
这块我之前已经介绍过了。 你的用户都是中国,那么在DNS解析的时候,国外用户就不用解析了。或者让他们解析到127.0.0.1去。根据地域的IP来做智能DNS解析;

5、Safeguard Exposed Resources保护公开的资源 
这块主要是结合安全组以及 Amazon CloudFront。
当然AWS里有WAF防火墙模版,你可以创建WAF模版,然后在两个ELB之间连接WAF模版,将进入的数据过滤。

6、Learn Normal Behavior
 
 
可以根据CloudWatch监控的参数,来触发EC2实例的增加和减少。

如何缓解DDOS攻击的更多相关文章

  1. 使用多个DNS供应商以缓解DDoS攻击

        随着不安全物联网(IoT)设备的激增,针对域名系统(DNS)供应商的分布式拒绝服务(DDoS)攻击在数量和规模上正在不断增加.这些攻击随之影响依赖于这些供应商进行域名解析的网站.虽然DNS供应 ...

  2. 使用iptables缓解DDOS及CC攻击

    使用iptables缓解DDOS及CC攻击 LINUX  追马  7个月前 (02-09)  465浏览  0评论 缓解DDOS攻击 防止SYN攻击,轻量级预防 iptables -N syn-flo ...

  3. Linux系统采用netstat命令查看DDOS攻击的方法

    Linux系统采用netstat命令查看DDOS攻击的方法 来源:互联网 作者:佚名 时间:07-05 15:10:21 [大 中 小] 这篇文章主要为大家介绍了Linux系统采用netstat命令查 ...

  4. DDoS攻击与防御(4)

    在发生DDoS攻击的情况下,可以通过一些缓解技术来减少攻击对自身业务和服务的影响,从而在一定程度上保障业务正常运行.缓解DDoS攻击的主要方法是对网络流量先进行稀释再进行清洗. 1.攻击流量的稀释 1 ...

  5. 游戏行业DDoS攻击解决方案

    行业综述 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游戏市场收入超过美国和日本,成为全球榜首. 游戏行业的快速发展.高额的攻击利润.日 ...

  6. 服务器被ddos攻击?分析如何防止DDOS攻击?

    上周知名博主阮一峰的博客被DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受.所以,本文我们一起来了解下DD ...

  7. 阿里云:游戏行业DDoS攻击解决方案

    转自:http://www.gamelook.com.cn/2018/01/319420 根据全球游戏和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的游 ...

  8. 破坏之王DDoS攻击与防范深度剖析【学习笔记】

    一.DDoS初步印象 1.什么是分布式拒绝服务攻击? 1)首先它是一种拒绝服务攻击 我们可以这么认为,凡是导致合法用户不能访问服务的行为,就是拒绝服务攻击. 注:早期的拒绝服务主要基于系统和应用程序的 ...

  9. 通过Nginx和Nginx Plus阻止DDoS攻击

    分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞.资源耗尽从而不能为正常用户提供正常服务的攻击手段.随着互联网带宽的增加和相关工具的不断发布,这种 ...

随机推荐

  1. 高并发下linux ulimit优化

    系统性能一直是一个受关注的话题,如何通过最简单的设置来实现最有效的性能调优,如何在有限资源的条件下保证程序的运作,ulimit 是我们在处理这些问题时,经常使用的一种简单手段.ulimit 是一种 l ...

  2. colinux安装指南

    1.colinux的安装 首先下载colinux安装文件,去http://www.colinux.org/下载默认安装,目录选择G:\colinux(根据自己需要选择,建议放在分区根目录下).选择不下 ...

  3. NASSA’s Robot

    NASSA的机器人降落到了火星,降落的地方可以用X-Y坐标表示.机器人最开始在(0, 0).由于传输问题,部分指令可能会混淆,现在给出确定的命令与未知命令,请帮忙确认机器人的X.Y坐标最小最大值分别是 ...

  4. Appium笔记(一) 丶Appium的自我介绍

    一.我是谁,我的特点是什么 Appium是一款开源测试自动化框架,可用于原生.混合和移动Web应用程序.它使用WebDriver协议驱动iOS,Android和Windows应用程序.重要的是,App ...

  5. CTF竞赛(简介)

    一.解体模式(Jeopardy) 可通过互联网或现场网络参与,解决网络安全技术挑战题目,并以分值和时间排名. 题目主要包括:逆向,漏洞挖掘与利用,web渗透,密码,取证,隐写,安全编程 二.攻防模式( ...

  6. 编译libmad库

    libmad是一个开源的音频解码库,下面说说关于这个库工程的编译过程: 1.首先从网上下载libmad开源库,自己百度就能够找到关于这个库的下载链接地址,我这里提供一个: http://downloa ...

  7. leetcode:Reverse Words in a String【Python版】

    class Solution: # @param s, a string # @return a string def reverseWords(self, s): ss = s.split(&quo ...

  8. dbt- 数据构建工具

    dbt(数据构建工具)是一个命令行工具,只需编写select语句即可转换仓库中的数据. dbt处理将这些select语句转换为表和视图.DBT帮助做T的ELT(提取,加载和转换) 的过程-它不提取或加 ...

  9. ereg()替换为preg_match(),ereg_repalce替换为preg_replace得加斜杠

    PHP 5.3 ereg() 无法正常使用,提示“Function ereg() is deprecated Error”是因为它长ereg 函数进行了升级处理,需要像preg_match使用/ /来 ...

  10. [LeetCode系列] 双单链表共同节点搜索问题

    找到两个单链表的共同节点. 举例来说, 下面两个链表A和B: A: a1 → a2 ↘ c1 → c2 → c3 ↗ B: b1 → b2 → b3 共同节点为c1. 分析: 共同节点距离A,B的起点 ...