DDoS即分布式拒絕服務(wù)攻擊��,DDoS里面的 DoS是denial of service(停止服務(wù))的縮寫���,表示這種攻擊的目的,就是使得服務(wù)中斷�。最前面的那個(gè)D是 distributed(分布式),表示攻擊不是來自一個(gè)地方�,而是來自四面八方,因此更難防御����。
如何發(fā)起DDoS攻擊的?
舉例來說�����,基本分為以下三步:
第一�����、搜集目標(biāo)���,刺探軍情�。比如:搜集目標(biāo)家有多少人����,都使用哪些設(shè)備,家庭情況怎么樣��,值不值得攻擊���,然后找個(gè)機(jī)會(huì)順便潛入目標(biāo)家拿到開門的最高權(quán)限���。
第二、確定攻擊時(shí)間段���。當(dāng)目標(biāo)一家人都在家或者有很多客人上門的時(shí)候是發(fā)動(dòng)攻擊的最佳時(shí)間段�;
第三����、發(fā)動(dòng)肉雞攻擊。經(jīng)過前2步的精心準(zhǔn)備后����,“雞主”把這些肉雞全引向盯梢已久的目標(biāo)家門口�,打開門��,讓肉雞如洪水般涌入目標(biāo)家里�����。
經(jīng)過以上三步�����,便完成了一次完整的DDoS攻擊過程�����。
那么互聯(lián)網(wǎng)創(chuàng)業(yè)公司如何防御一次DDoS攻擊��?防御方式如下:
1���、采用高性能的網(wǎng)絡(luò)設(shè)備
首先需要保證路由器��、交換機(jī)����、硬件防火墻等網(wǎng)絡(luò)設(shè)備的性能,當(dāng)發(fā)生DDoS攻擊的時(shí)候���,用足夠性能的機(jī)器、容量去承受攻擊�,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是十分有效的應(yīng)對(duì)策略。
2����、保證服務(wù)器系統(tǒng)的安全
首先要確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵�����。確保服務(wù)器采用最新系統(tǒng)����,并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)�����,關(guān)閉未使用的端口����。對(duì)于服務(wù)器上運(yùn)行的網(wǎng)站�,確保其打了最新的補(bǔ)丁�����,沒有安全漏洞�。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力���,假若僅僅有10M帶寬的話�����,無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊����,當(dāng)前至少要選擇100M的共享帶寬���,最好的當(dāng)然是掛在1000M的主干上了��。但需要注意的是���,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過100M��,再就是接在100M的帶寬上也不等于就有了百兆的帶寬�,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚�����。
4�����、把網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
大量事實(shí)證明��,把網(wǎng)站盡可能做成靜態(tài)頁面���,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩���,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)���。如果非需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去����,免的遭受攻擊時(shí)連累主服務(wù)器����,當(dāng)然����,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的。
5����、增強(qiáng)操作系統(tǒng)的TCP/IP棧
Windows操作系統(tǒng)本身就具備一定的抵抗DDoS攻擊的能力,只是默認(rèn)狀態(tài)下沒有開啟而已����,若開啟的話可抵擋約10000個(gè)SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個(gè)��,具體怎么開啟�,還需自行去微軟官網(wǎng)了解。
6�����、HTTP 請(qǐng)求的攔截
HTTP 請(qǐng)求的特征一般有兩種:IP 地址和 User Agent 字段�。比如�,惡意請(qǐng)求都是從某個(gè) IP 段發(fā)出的�,那么把這個(gè) IP 段封掉就行����;蛘撸鼈兊 User Agent 字段有特征(包含某個(gè)特定的詞語)���,那就把帶有這個(gè)詞語的請(qǐng)求攔截����。
7�、部署CDN
CDN 指的是網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個(gè)服務(wù)器��,用戶就近訪問��,提高速度�����。因此�,CDN 也是帶寬擴(kuò)容的一種方法,可以用來防御 DDOS 攻擊�。
8、隱藏服務(wù)器的真實(shí)IP地址
服務(wù)器前端加CDN中轉(zhuǎn),如果資金充裕的話�����,可以購買高防的盾機(jī)���,用于隱藏服務(wù)器真實(shí)IP���,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址���。此外�,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析��,全部都使用CDN來解析�����。
9��、定期檢查
企業(yè)網(wǎng)骨干需要定期檢查主要的網(wǎng)絡(luò)節(jié)點(diǎn)���,清查可能會(huì)出現(xiàn)的問題���,對(duì)于新出現(xiàn)的漏洞及時(shí)處理�。主要因?yàn)槭枪歉晒?jié)點(diǎn)本身就具有很高的帶寬�����,這是黑客們可以利用的好位置�����,所以說要加強(qiáng)這些主機(jī)是十分必要的���。
10����、利用專業(yè)的安全防護(hù)產(chǎn)品
這里講解一個(gè)案例��,在2018年年末�����,騰訊云某知名互聯(lián)網(wǎng)行業(yè)客戶遭受了一次大型DDoS攻擊���,流量峰值一度逼近T級(jí)������?蛻粼馐艽罅髁緿DoS攻擊時(shí),如何抗D維穩(wěn)是當(dāng)務(wù)之急�,710Gbps大流量攻擊對(duì)業(yè)界傳統(tǒng)防護(hù)方案挑戰(zhàn)不小。在快速分析完客戶情況之后,防御吧團(tuán)隊(duì)立即響應(yīng)���,針對(duì)客戶業(yè)務(wù)情況提供大禹高防IP專業(yè)版解決方案�,智能調(diào)度防護(hù)節(jié)點(diǎn),滿足跨區(qū)域T級(jí)大流量抗D需求�,攻擊持續(xù)了一天,決戰(zhàn)卻只在一分鐘內(nèi)完成�����。截至目前����,防御吧DDoS高防,還在江蘇省公安廳、閱文集團(tuán)��、熊貓直播���、攜程�、摩拜單車等各行各業(yè)的客戶中守護(hù)企業(yè)網(wǎng)絡(luò)安全。
寫在最后:
隨著全球互聯(lián)網(wǎng)業(yè)務(wù)和云計(jì)算的發(fā)展熱潮�,可以預(yù)見到,針對(duì)云數(shù)據(jù)中心的DDoS攻擊頻率還會(huì)大幅度增長��,攻擊手段也會(huì)更加復(fù)雜�。安全工作是一個(gè)長期持續(xù)性而非階段性的工作,所以需要時(shí)刻保持一種警覺�,而且網(wǎng)絡(luò)安全不僅僅是某家企業(yè)的責(zé)任,更是全社會(huì)的共同責(zé)任�����,需要大家共同努力����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
