如何進(jìn)行ddos防御,很多企業(yè)也并沒有太好的方法�,只能被動(dòng)防御�����,或者求助于安全公司�����。那么��,正在遭受ddos攻擊的企業(yè)����,應(yīng)該如何進(jìn)行ddos防御����?ddos防御多少錢?下面為大家詳細(xì)介紹一下:
DDoS的攻擊方式
DDoS的攻擊,可以分為兩種大的層次�,一種是帶寬消耗型,一種是資源消耗型�����,從網(wǎng)絡(luò)占用到目標(biāo)硬件性能占用�,從而到達(dá)癱瘓網(wǎng)絡(luò)、崩潰系統(tǒng)的最終目的�。下面列舉一些比較出名的攻擊手段,并不完全���。
UDP洪水攻擊
UDP(User Datagram Protocol floods)����,用戶數(shù)據(jù)包協(xié)議����,是一種無連接協(xié)議,大家都知道信息交換其中有握手原則��,而數(shù)據(jù)包通過UDP發(fā)送時(shí)����,不需要握手驗(yàn)證��,導(dǎo)致大量數(shù)據(jù)包發(fā)送給目標(biāo)系統(tǒng)時(shí)�����,可能發(fā)生帶寬飽和���,導(dǎo)致正常用戶的合法請(qǐng)求無法進(jìn)行。
死亡之PING
死亡之PING(ping of death)��,或見死亡之平���,按中文的蘊(yùn)意能翻譯成死亡天平����,根據(jù)TCP/IP協(xié)議��,可見數(shù)據(jù)包最大字節(jié)為6,5535字節(jié)�,所以當(dāng)這種類型的攻擊方式,發(fā)送的數(shù)據(jù)包片段大小超過協(xié)議規(guī)定���,計(jì)算機(jī)系統(tǒng)無法正常處理數(shù)據(jù)包�����,從而崩潰���。
CC攻擊
CC(Challenge Collapsar),挑戰(zhàn)黑洞��,利用大量免費(fèi)代理服務(wù)器對(duì)目標(biāo)服務(wù)器發(fā)送大量表面合法的請(qǐng)求���,對(duì)目標(biāo)服務(wù)器的資源進(jìn)行消耗����,從而使合法用戶無法得到服務(wù)器響應(yīng)�����。
DDoS的防御方式
分布式拒絕服務(wù)攻擊���,目前主要采用多重驗(yàn)證��、流量過濾����、入侵檢測等防御方式,使阻塞帶寬的網(wǎng)絡(luò)流量過濾����,讓正常訪問流量通過。
防火墻
最常見的是防火墻裝置�����,因?yàn)榉阑饓梢愿`活的定義訪問規(guī)則����,允許或拒絕特定的通訊協(xié)議,IP地址或是轉(zhuǎn)發(fā)端口����,如果目標(biāo)IP異常,可以簡單的阻止IP源的一切通信�����,如果上升為較為復(fù)雜的端口��,遭受攻擊��,防火墻依然有效地隔絕惡意流量。
流量清洗
顧名思義�����,訪問流量通過DDoS清洗中心�����,使得正常流量和惡意流量被區(qū)分過濾�����,正常流量則繼續(xù)訪問�,惡意流量則被禁止過濾�����。
保證服務(wù)器系統(tǒng)的安全
首先要確保服務(wù)器軟件沒有任何漏洞�����,防止攻擊者入侵�。確保服務(wù)器采用最新系統(tǒng),并打上安全補(bǔ)丁��。在服務(wù)器上刪除未使用的服務(wù),關(guān)閉未使用的端口����。盡量把數(shù)據(jù)庫和程序單獨(dú)拿出根目錄,更新使用的時(shí)候再放進(jìn)去�,盡可能把網(wǎng)站做成靜態(tài)頁面。對(duì)于服務(wù)器上運(yùn)行的網(wǎng)站���,確保其打了最新的補(bǔ)丁�����,沒有安全漏洞���。
隱藏服務(wù)器真實(shí)IP
服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士�、加速樂、安全寶等)�,如果資金充裕的話,可以購買高防的盾機(jī)���,用于隱藏服務(wù)器真實(shí)IP��,域名解析使用CDN的IP��,
所有解析的子域名都使用CDN的IP地址�����。此外�����,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析��,全部都使用CDN來解析���。
另外��,防止服務(wù)器對(duì)外傳送信息泄漏IP,最常見的是�,服務(wù)器不使用發(fā)送郵件功能,如果非要發(fā)送郵件����,可以通過第三方代理(例如sendcloud)發(fā)送,這樣對(duì)外顯示的IP是代理的IP�����。
總之,只要服務(wù)器的真實(shí)IP不泄露��,10G以下小流量DDOS的預(yù)防花不了多少錢�,免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過20G�����,那么免費(fèi)的CDN可能就頂不住了����,需要購買一個(gè)高防的DDoS防火墻來應(yīng)付了。
分布式集群防御
分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址����,如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)��,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)���,使攻擊源成為癱瘓狀態(tài)��,從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策���。
負(fù)載均衡
負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上���,為擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量���、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力���、提高網(wǎng)絡(luò)的靈活性和可用性提供一種廉價(jià)有效透明的方法,CC攻擊會(huì)使服務(wù)器大量的網(wǎng)絡(luò)傳輸而過載���,所以對(duì)DDoS流量攻擊和CC攻擊都很見效�����,用戶訪問速度也會(huì)加快�����。
優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)路由器進(jìn)行合理設(shè)置���,降低攻擊的可能性��。
啟用黑名單
如果攻擊IP普遍來自于某個(gè)國家或地區(qū)���,那么在被攻擊期間�����,可以將該區(qū)域來源IP加入黑名單����,從而禁止特定區(qū)域訪問���。雖然這種做法可以有效降低風(fēng)險(xiǎn)����,但也有可能將真正客戶拒之門外���,同樣會(huì)導(dǎo)致部分損失�����。并且很難判斷該IP地址是否正確��,有可能攻擊者可以通過工具進(jìn)行偽裝處理��。
監(jiān)控流量
安裝入侵檢測工具��,經(jīng)常掃描檢查系統(tǒng)��,解決系統(tǒng)的漏洞���,對(duì)系統(tǒng)文件和應(yīng)用程序進(jìn)行加密��,并定期檢查這些文件的變化�。
DDOS攻擊的原理如果簡單的說�,就是通過大量流量消耗服務(wù)器資源,因此����,監(jiān)控網(wǎng)絡(luò)流量十分重要。如果網(wǎng)站在某個(gè)時(shí)刻突然獲得遠(yuǎn)超日常的流量�,那么很可能是DDOS攻擊的一個(gè)危險(xiǎn)信號(hào),在監(jiān)控工具中設(shè)置訪問人數(shù)閾值���,超過時(shí)自動(dòng)提醒���,可以幫助企業(yè)最快反應(yīng)。
接入高防服務(wù)
日常網(wǎng)絡(luò)安全防護(hù)對(duì)一些小流量DDOS攻擊能夠起到一定的防御效果���,但如果遇到大流量洪水DDOS攻擊���,最直接的辦法就是接入專業(yè)的DDOS高防服務(wù),建議接入墨者盾��,通過墨者盾高防隱藏源IP����,對(duì)攻擊流量進(jìn)行清洗,保障企業(yè)服務(wù)器的正常運(yùn)行�。
ddos防御多少錢
對(duì)于不懂ddos防御的企業(yè)來說,最好的選擇就是和專業(yè)的安全公司合作�����。在費(fèi)用上�,ddos防御的收費(fèi)一般是根據(jù)流量和具體的服務(wù)來收取的,每個(gè)廠家的收費(fèi)標(biāo)準(zhǔn)都不同����,應(yīng)該根據(jù)自己的需求來選擇。
普通的ddos防御價(jià)格在數(shù)千至數(shù)萬不等����,如果有更高需求的話,那就需要專門定制服務(wù)了。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
