当时代发展到了了今天,个人或企业以及商业机构拥有自己的网站,已经不是个什么新鲜事。但越来越多的情况表明,服务器的安全问题却是越来越严重。游戏行业一直都是被攻击的重灾区,大到3a级的网游还是小型游戏私服,甚至像4399那种小游戏网站。只要业务流量比较大或者玩家中的知名度比较高的,基本都会被盯上,所以要想确保游戏运行的稳定,一整套的针对DDoS、CC等流量攻击的防御体系是必不可少的,以下几个建议值得考虑。
对于系统漏洞要进行定期定向扫描
在任何一个网络架构中,都不免会有各种安全上的漏洞,针对这种情况,高防服务器会定期定向的进行扫描。在那种服务集群环境中,定期对单台及所有服务器进行扫描,有利于排除各节点上的问题。
防火墙直接配置到所有网络节点
在以往的技术当中,防火墙只是用在最高一层,通过它来挡住一切不明的攻击。但如今为了提高安全,把防火墙在各节点进行配置。
加载大量设备(高防服务器)应对攻击
就像是一支队伍在冲锋时,总会有人因为掩护别人而牺牲一样。当受到攻击时,通过高防服务器的控制。个别设备会主动的牺牲自己。但这种牺牲不要理解为真正意义的坏掉。只是重启而已。起码不至于主服务器被重启。
高防服务器的作用非常大,这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗尽,或许未等用户被攻死,黑客已无力招架了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
采用分布式架构
这是针对一些海外多节点的游戏,一般来说一旦一个服务器的游戏玩家达到一定程度,为了确保游戏服务器的整体稳定一般都会采用分服操作,在后台的表现就是采用分布式架构,由于针对游戏服务端的攻击一般都是针对某一节点的攻击,所以多节点做负载均衡不仅能够确保整个游戏在面对大量玩家上线的时候依旧能够确保业务的稳定性,而且即使遇到攻击也能及时转移或者切换节点,稳定性比单服好很多。
接入高防CDN
有人会问,CDN不都是给网站加速的吗,作为游戏服务端用高防CDN有多大的效果呢,实际上现在有很多针对游戏行业的攻击都是以游戏服务端的端口,而接入高防CDN之后能够有效隐藏游戏服务端的端口,而且不影响正常客户端的链接请求,针对垃圾数据包也能做到及时分发清除,有效提升用户体验。
充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP,只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
服务器安全是头等大事, 对于开发、运维、测试等工作来说, 安全都是重点关注的问题, 养成良好的习惯, 防患于未然。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/77884.html