10 шагов по киберзащите от DDoS-атак.
DDoS-атаки бьют все рекорды по количеству, продолжительности и мощности.
DDoS-нападение распознать просто - замедление работы сети и серверов, заметное как администратору системы, так и обычному пользователю. Когда действия злоумышленников достигают своей цели, это моментально можно определить по сбоям в работе сервера или размещенного там ресурса. Но есть ряд косвенных признаков, по которым о DDoS-атаке можно узнать еще в самом ее начале. Серверное ПО и ОС начинают часто и явно сбоить – зависать, некорректно завершать работу.
10 шагов по защите от DDoS-атак:
1. Активно использовать фаервол - закрыть все порты кроме используемых повседневно, остановить лишние сервисы, запретить пинг для скрытия машины от различных злонамеренных роботов пингующих и сканирующих диапазоны ИП, проверять входящие пакеты на их соответствие стандартам стека протоколов TCP.
2. Сменить стандартные номера портов для FTP и SSH.
3. Регулярно анализировать критические сообщения из .лог файлов сервера, например при помощи Logwatch и делать адекватные выводы.
4. Своевременное обновление всего системного и прикладного ПО.
5. Снять с автоматической загрузки все сервисы находящиеся в публичном доступе, включая веб-серверы nginx и httpd: chkconfig httpd off and chkconfig nginx off, что поможет получить доступ к серверу в случае непрерывной DDoS-атаки на эти сервисы.
6. Использовать PHP ака Fast CGI + акселераторы типа eAccelerator или APC.
7. Выполнить тонкую настройку сетевых параметров ядра через sysctl.
8. Возможно использовать дополнительное ПО вроде mod_evasive или анти DDoS шел-скрипты на базе tcpdump или netstat.
9. Выбрать правильный диспетчер ввода/вывода и оптимизировать использование оперативной и виртуальной памяти.
10. Выбрать сервис защиты от DDoS, который может заменить все выше перечисленные действия.