Cara Mencegah Serangan DDoS: Lindungi Pelayan Linux Anda

Cara Mencegah Serangan DDoS: Lindungi Pelayan Linux Anda

Serangan DDoS ialah ancaman keselamatan siber biasa yang boleh menjadikan pelayan terlebih muatan atau tidak tersedia. Dalam artikel ini, kami akan memperkenalkan beberapa kaedah untuk melindungi pelayan Linux anda daripada serangan DDoS, termasuk mengoptimumkan konfigurasi rangkaian, menggunakan tembok api dan memasang perisian perlindungan DDoS.

1. Optimumkan konfigurasi rangkaian
   Pengoptimuman konfigurasi rangkaian ialah langkah pertama untuk memastikan pelayan anda dapat menahan trafik yang banyak. Berikut ialah beberapa cadangan pengoptimuman konfigurasi utama:

   • Tingkatkan lebar jalur pelayan: Pastikan lebar jalur pelayan anda mencukupi untuk menyokong trafik muatan tinggi.
   • Laraskan parameter TCP: Laraskan parameter TCP mengikut prestasi dan keperluan pelayan, seperti melaraskan TCP menerima dan menghantar saiz penimbal untuk meningkatkan daya pemprosesan rangkaian dan kelajuan tindak balas.
   • Dayakan Kuki SYN: Kuki SYN ialah kaedah untuk menghalang serangan Banjir SYN Kuki dijana dan disahkan secara dinamik semasa jabat tangan tiga hala TCP untuk menghalang penyerang daripada menggunakan sumber pelayan.

Berikut ialah contoh menggunakan arahan sysctl untuk melaraskan parameter TCP:

# 打开TCP的SYN Cookie保护
sysctl -w net.ipv4.tcp_syncookies=1

# 增大TCP接收缓冲区大小
sysctl -w net.core.rmem_max=26214400

# 增大TCP发送缓冲区大小
sysctl -w net.core.wmem_max=26214400

2. Gunakan tembok api
   Tembok api boleh membantu anda menapis dan mengehadkan trafik ke pelayan anda untuk mengelakkan serangan DDoS. Berikut ialah beberapa contoh peraturan untuk menggunakan firewall iptables untuk melindungi pelayan anda:

# 允许已建立的连接通过
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 允许SSH流量通过
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 限制ICMP流量
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp -j DROP

# 限制特定的端口流量
iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

Contoh peraturan di atas hanyalah titik permulaan, anda boleh melaraskan peraturan firewall mengikut keperluan dan persekitaran rangkaian anda.

3. Pasang perisian perlindungan DDoS
   Selain mengkonfigurasi rangkaian dan menggunakan tembok api, memasang perisian perlindungan DDoS khusus juga merupakan cara penting untuk melindungi pelayan Linux daripada serangan DDoS. Berikut ialah beberapa perisian biasa:

   • ModSecurity: Tembok api aplikasi web sumber terbuka yang boleh mengesan dan menyekat permintaan HTTP/HTTPS yang berniat jahat.
   • Fail2Ban: Alat automatik yang menyekat percubaan log masuk berniat jahat dan permintaan berniat jahat, serta boleh digunakan untuk melindungi SSH, FTP dan perkhidmatan lain.
   • Nginx Anti-DDoS: Perisian perlindungan berasaskan Nginx yang boleh menahan serangan DDoS dengan mengehadkan sambungan serentak dan kadar permintaan.

Apabila memasang perisian ini, sila ikut garis panduan dalam dokumentasi rasmi dan konfigurasikannya mengikut keperluan.

Ringkasnya, dengan mengoptimumkan konfigurasi rangkaian, menggunakan tembok api dan memasang perisian perlindungan DDoS, anda boleh meningkatkan keselamatan pelayan Linux anda dan mengurangkan risiko serangan DDoS. Ingat, keselamatan rangkaian ialah bidang yang sedang berkembang, dan kemas kini dan langkah keselamatan yang tepat pada masanya adalah kunci untuk memastikan pelayan anda selamat.

Atas ialah kandungan terperinci Cara Mencegah Serangan DDoS: Lindungi Pelayan Linux Anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!