DDoS 공격 보호는 대규모 트래픽 폭발에 대항하는 이중적인 전략입니다. 그렇지 않으면 사이트가 합법적인 사용자에게 서비스를 제공할 수 있는 능력을 손상시킬 수 있습니다. 두 가지 중요한 구성 요소는 DDoS 예방과 DDoS 완화입니다. 예방 조치에는 서버 설치 또는 데이터 센터 "강화" 가 포함됩니다. 이는 공격의 징후를 관통하고 모니터링하는 가장 일반적인 방법이며, 완화 조치는 악성 트래픽을 전송하는 방법을 설명하므로 웹 사이트와 서버의 작동을 중지할 수 없습니다.

두 방법 모두 DDoS 공격을 독립적으로 막을 수 없습니다. 문제를 예방하는 단계는 물론 매우 중요하며, 시작하기 전에 일부 공격을 막을 수 있다. 일단' 이미 늦었다' 고 하면, 시계가 웹 사이트 다운타임부터 시간을 재기 시작하면서 정세 통제 비용이 급속히 상승하고 있다.

Pcdn 특별 정류는 무엇입니까?

Pcdn 특별 정류는 P2P 기술을 기반으로 하는 저가의 고품질 콘텐츠 배포 네트워크 서비스로, 에지 네트워크의 대량 조각화 유휴 자원을 발굴하고 활용함으로써 구축됩니다.

Pcdn 특별 정류는 주문형 비디오, 생방송, 대용량 파일 다운로드 등의 업무 시나리오에 적용됩니다.

Pcdn 특별 정류 이점:

첫째, 포괄적인 지원

1, Android/IOS/OTT/플래시 플랫폼에서 주문형, 생방송 및 대용량 파일 다운로드 서비스를 지원하는 강력하고 사용하기 쉬운 SDK 제공, 인터페이스 통합, 각 터미널 플랫폼의 간단한 적응

2. mp4/hls/flv 주문형, hls/flv 생방송 등 다양한 리소스 형식 유형을 지원합니다.

3. 관리 콘솔과 풍부한 OpenAPI 인터페이스를 제공하여 사용자가 빠르고 쉽게 구성하고 실시간으로 모니터링할 수 있도록 합니다.

둘째, 기술이 앞서고 있다

1, 전국에 백만 레벨 서비스 노드를 배포하고 CDN 및 P2P 기술을 통합하여 다단계 네트워크 가속을 가능하게 합니다.

2. 100+ 핵심 기술 특허를 보유하고 있는 업계 최고의 노드 스케줄링 시스템을 자체 개발하여 백만 단위의 노드 글로벌 일정을 실현하여 최적의 경로로 데이터 전송, 가까운 액세스, 배송 서비스 품질 보장

3. 자동 검색 캐싱 메커니즘, 수동 사전 푸시 메커니즘 등 다양한 컨텐츠 캐싱 방법을 동시에 지원합니다.

4. P2P 기술의 특징을 충분히 발휘하여 병렬 전송, 약한 네트워크 최적화, 다운로드 가속화 등에서 우세하다.

셋째, 경험의 질

1, 메인스트림 터미널 플랫폼 및 메인스트림 콘텐츠 형식의 신속한 배포를 지원하여 CDN 과 동등한 사용자 경험 지수를 달성할 수 있습니다.

2. 이동측의 다중 최적화를 위해, 순수 메모리 모드를 지원하고, TF/ROM 을 읽고 쓸 필요가 없고, 시스템 자원 사용량이 매우 낮고, 전력 소비량은 거의 차이가 없습니다.

넷째, 시스템 보안

1, 아리운 CDN 의 보안 메커니즘을 완벽하게 통합하여 도난 방지 체인, DDoS 공격 방지, 데이터 보안 등에 대한 강력한 지원을 제공합니다.

2.SDK 는 불법 액세스를 방지하기 위해 암호화 인증 메커니즘을 사용합니다.

3.P2P 노드 캐시는 강력한 암호화를 사용하여 컨텐츠 변조를 방지합니다.

Dns 보호는 어떻게 합니까?

1. DNS 서버가 이름 서버의 재귀 쿼리 기능을 제한할 수 있도록 권한을 부여하고, 재귀 DNS 서버가 재귀 액세스를 제한할 클라이언트 (화이트리스트 IP 세그먼트 활성화) 입니다.

2.zonetransfer 는 제한 영역 전송에서 마스터-슬레이브 동기화 DNS 서버 범위 내에서 화이트리스트를 활성화합니다. 목록에 없는 DNS 서버는 영역 파일 동기화를 허용하지 않습니다.

전송 허용 {};

업데이트 허용 {};

3. 블랙리스트와 화이트리스트 사용

알려진 공격 IP 는 bind 에 의해 블랙리스트에 오르거나 방화벽에서 액세스가 금지되어 있습니다.

Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오.

Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오. Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오.

4. BIND 버전 정보를 숨깁니다.

5. 루트 바인딩 수퍼유저가 아닌 권한을 가지고 있습니다.

4. BIND 버전 정보를 숨깁니다.

5. 루트 바인딩 수퍼유저가 아닌 권한을 가지고 있습니다.

6. DNS 에서 불필요한 기타 서비스를 삭제합니다. DNS 서버 시스템 만들기 웹, POP, gopher, NNTPNews 등의 서비스를 설치해서는 안 됩니다.

다음 패키지는 설치하지 않는 것이 좋습니다.

1)X-Windows 및 관련 패키지 2) 멀티미디어 애플리케이션 패키지; 3) 불필요한 컴파일러 및 스크립트 해석 언어; 4) 사용되지 않은 텍스트 편집기; 5) 유해한 클라이언트 프로그램; 6) 기타 불필요한 네트워크 서비스. 도메인 이름 확인 서비스의 독립성을 보장하고, 도메인 이름 확인 서비스를 실행하는 서버는 동시에 다른 포트의 서비스를 열 수 없습니다. 권위 있는 도메인 이름 확인 서비스와 재귀 도메인 이름 확인 서비스는 서로 다른 서버에서 독립적으로 제공해야 합니다.

7. DNStop 을 사용하여 DNS 트래픽 모니터링

# yuminstalllibpcap-devencurses-devel

소스 코드/tools/dn stop/src/dn stop-20140915.tar.gz 를 다운로드합니다.

#;

9. Dos/DDoS 에 대한 DNS 서버 방어 기능을 향상시킵니다.

Syn 쿠키 사용

백로그를 추가하면 대량의 SYN 요청으로 인한 TCP 접속 차단을 어느 정도 완화할 수 있습니다.

재시도 횟수 단축: Linux 시스템의 기본 tcp_synack_retries 는 5 회입니다.

한계 동기화 빈도

동기 공격 방지: # echo1> /proc/sys/net/IPv4/TCP _ syncookies /etc/rc.d/rc.local 파일에 이 명령을 추가합니다.

10.: 도메인 이름 서비스 프로토콜이 정상인지 모니터링합니다. 즉, 적절한 서비스 프로토콜을 사용하거나 적절한 테스트 도구를 사용하여 서비스 포트에 시뮬레이션 요청을 보내고, 서버가 반환한 결과를 분석하고, 현재 서비스가 정상인지, 메모리 데이터가 변경되었는지 확인합니다. 조건부로 서로 다른 네트워크에 여러 테스트 지점을 배치하여 분산 모니터링을 수행합니다.

1 1. 도메인 이름 서비스를 제공하는 서버 수는 2 대 미만이어야 하며 독립 이름 서버 수는 5 대로 하는 것이 좋습니다. 서버를 서로 다른 물리적 네트워크 환경에 배치하는 것이 좋습니다. 침입 탐지 시스템을 사용하여 가능한 한 중개인 공격을 탐지합니다. 도메인 이름 서비스 시스템 주변에 반공격 장치를 배치하여 이러한 공격에 대응합니다. 트래픽 분석과 같은 도구를 사용하여 DDoS 공격을 감지하여 적시에 긴급 조치를 취할 수 있습니다.

12.: 반복 서비스의 적용 범위를 제한하여 특정 네트워크 세그먼트의 사용자만 반복 서비스를 사용할 수 있도록 합니다.

13.: 중요한 도메인 이름의 분석 결과를 중점적으로 모니터링하고, 분석 데이터가 변경된 것을 발견하면 즉시 경고 힌트를 제공합니다. Dnssec； 배포 ：

14. 완벽한 데이터 백업 메커니즘 및 로그 관리 시스템을 구축합니다. 지난 3 개월 동안의 모든 분석 로그를 보관해야 하며, 중요한 도메인 이름 정보 시스템에 7×24 유지 관리 메커니즘을 사용하는 것이 좋습니다. 긴급 응답 시간은 30 분 미만이어야 합니다.