Bagaimana untuk mengkonfigurasi pertahanan ketersediaan tinggi terhadap serangan DDoS pada Linux

Cara mengkonfigurasi pertahanan ketersediaan tinggi terhadap serangan DDoS pada Linux

Gambaran Keseluruhan
Dengan perkembangan Internet, serangan DDoS (Distributed Denial of Service) telah menjadi semakin berleluasa. Ia berfungsi dengan membanjiri dan melebihkan pelayan sasaran dengan jumlah trafik berniat jahat yang besar, dengan itu menyebabkan perkhidmatan tidak tersedia. Untuk melindungi pelayan daripada serangan DDoS, kami perlu mengkonfigurasi mekanisme pertahanan yang tersedia.

Dalam artikel ini, kami akan memperkenalkan cara mengkonfigurasi pertahanan yang sangat tersedia terhadap serangan DDoS pada Linux dan memberikan contoh kod yang sepadan.

Langkah pelaksanaan

1. Gunakan tembok api untuk menapis trafik berniat jahat
   Pertama, kita perlu memasang dan mengkonfigurasi tembok api pada pelayan untuk menapis trafik berniat jahat untuk serangan DDoS. Firewall boleh menyekat trafik berniat jahat daripada memasuki pelayan berdasarkan peraturan yang telah ditetapkan. Berikut ialah contoh kod untuk mencipta peraturan untuk melarang akses daripada IP tertentu:

iptables -A INPUT -s 192.168.1.1 -j DROP

Ini akan mengharamkan akses daripada alamat IP 192.168.1.1.

2. Gunakan pengimbang beban untuk mengagihkan trafik
   Untuk membolehkan pelayan mengendalikan lebih banyak trafik dan berkongsi beban, kami boleh mengkonfigurasi pengimbang beban. Pengimbang beban akan mengagihkan trafik ke berbilang pelayan berdasarkan peraturan yang telah ditetapkan untuk memastikan pelayan dapat mengendalikan trafik secara sama rata. Berikut ialah contoh kod untuk mengkonfigurasi HAProxy sebagai pengimbang beban:

frontend http
  bind *:80
  mode http
  default_backend servers

backend servers
  mode http
  server server1 192.168.1.2:80
  server server2 192.168.1.3:80

Ini akan mengkonfigurasi HAProxy untuk mendengar pada port 80 dan mengedarkan trafik ke pelayan dengan alamat IP 192.168.1.2 dan 192.168.1.3.

3. Gunakan Sistem Pencegahan Pencerobohan (IPS) untuk pemantauan masa nyata
   Untuk mengesan dan menyekat serangan DDoS dalam masa, menggunakan Sistem Pencegahan Pencerobohan (IPS) untuk pemantauan masa nyata adalah penting. IPS boleh mengesan trafik yang tidak normal dan melaksanakan langkah yang sesuai, seperti menyekat alamat IP penyerang secara automatik. Berikut ialah contoh kod untuk mengkonfigurasi Fail2Ban sebagai alat IPS:

[DEFAULT]
bantime = 3600  # 封锁时间（秒）
findtime = 600  # 时间窗口内尝试登录次数
maxretry = 3   # 登录尝试失败次数

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s

Ini akan membolehkan Fail2Ban memantau perkhidmatan SSH dan menyekat alamat IP penyerang secara automatik apabila 3 percubaan log masuk yang gagal dibuat dalam masa 10 minit.

4. Jalankan ujian simulasi serangan DDoS
   Untuk memastikan keberkesanan mekanisme pertahanan, kami boleh menjalankan ujian simulasi serangan DDoS untuk mengesahkan keupayaan pelayan untuk menahan tekanan. Gunakan alatan seperti LOIC (Low Orbit Ion Cannon) untuk mensimulasikan serangan DDoS dalam persekitaran terkawal dan lihat sama ada pelayan berfungsi dengan betul. Berikut ialah contoh kod untuk menjalankan LOIC untuk ujian simulasi serangan DDoS:

sudo apt-get install wine
wine LOIC.exe

Ini akan memasang Wine dan menjalankan LOIC.

Ringkasan
Memandangkan serangan DDoS terus meningkat dan berkembang, mengkonfigurasi mekanisme pertahanan ketersediaan tinggi adalah kunci untuk melindungi pelayan daripada serangan. Artikel ini menerangkan cara mengkonfigurasi tembok api, pengimbang beban dan IPS pada platform Linux dan menyediakan contoh kod yang sepadan. Walau bagaimanapun, sila ambil perhatian bahawa adalah juga penting untuk memastikan sistem anda dikemas kini dan menyemak konfigurasi secara kerap untuk memastikan pelayan anda boleh terus menahan ancaman serangan DDoS.

Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi pertahanan ketersediaan tinggi terhadap serangan DDoS pada Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!