DDoS攻擊的危害很大�����,并且是很難進(jìn)行防范的��,DDOS攻擊嚴(yán)重時會直接導(dǎo)致網(wǎng)站無法被正常訪問�����、服務(wù)器直接癱瘓��、直接對經(jīng)營方造成一定的財產(chǎn)損失�����,DDOD攻擊目前幾乎在網(wǎng)絡(luò)行業(yè)的各行各業(yè)都有存在。那么面對DDOS攻擊�����,我們應(yīng)該如何進(jìn)行防護(hù)工作呢�����?
DDoS防御是一種資源對抗的防御����,攻擊者由于采用的是違法手段獲取的失陷主機(jī)(肉雞)����,所以攻擊成本遠(yuǎn)遠(yuǎn)小于防御成本,這是攻防不對等的原因�����。
一般認(rèn)為防御DDoS攻擊最有效的方式是使用清洗設(shè)備對所有流量進(jìn)行“清洗”�����,盡可能的篩去攻擊流量�����,然后將剩余流量給與到應(yīng)用服務(wù)器。但是不是所有的DDoS攻擊都適用清洗方法��。需要根據(jù)不同種類針對性的分析和解決�。
3.1 基于流量的 DDoS 攻擊
•分析
1)從系統(tǒng)管理員角度很難緩解此類攻擊,需要借助ISP的幫助���。
2)但是大多數(shù)ISP和轉(zhuǎn)接提供商將主動了解正在發(fā)生的事情并為您的服務(wù)器發(fā)布黑洞路由�����。這意味著他們通過0.0.0.0以下方式以盡可能低的成本向您的服務(wù)器發(fā)布路由:它們使您的服務(wù)器的流量不再可在Internet上路由����。這其實對你沒有任何幫助; 目的是保護(hù)ISP的網(wǎng)絡(luò)不受大洪水的影響���。在此期間�����,您的服務(wù)器將失去Internet訪問權(quán)限�。
•解決方案
1)關(guān)于這個問題�,當(dāng)攻擊已經(jīng)發(fā)生時你幾乎無能為力�����。
2)最好的長期解決方案是在互聯(lián)網(wǎng)上的許多不同位置托管您的服務(wù)���,這樣對于攻擊者來說他的DDoS攻擊成本會更高。
3)這方面的策略取決于您需要保護(hù)的服務(wù); DNS可以使用多個權(quán)威名稱服務(wù)器���,具有備份MX記錄和郵件交換器的SMTP以及使用循環(huán)DNS或多宿主的HTTP進(jìn)行保護(hù)(但是在某段時間內(nèi)可能會出現(xiàn)一些明顯的降級)����。
4)負(fù)載均衡設(shè)備并不是解決此問題的有效方法�����,因為負(fù)載均衡設(shè)備本身也會遇到同樣的問題并且只會造成瓶頸�����。
5)IPTables或其他防火墻規(guī)則無濟(jì)于事�,因為問題是您的管道已經(jīng)飽和��。 一旦防火墻看到連接�,就已經(jīng)太晚了 ; 您的網(wǎng)站帶寬已被消耗��。你用連接做什么都沒關(guān)系; 當(dāng)傳入流量恢復(fù)正常時����,攻擊會緩解或完成�����。
6)內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)以及專業(yè)安全與網(wǎng)絡(luò)性能公司的DDoS清理服務(wù)�。這將是緩解這些類型的攻擊的積極措施,并且在許多不同的地方擁有大量的可用帶寬���。請注意:要隱藏服務(wù)器的IP�����。
7)此外一些VPS和托管服務(wù)提供商�、云計算廠商在減輕這些攻擊方面比其他提供商更好��。因為規(guī)模越大���,會擁有更大帶寬����,自然也會更有彈性。
3.2 基于負(fù)載的 DDoS 攻擊
•分析
這種攻擊的基礎(chǔ)是讓你的服務(wù)做很多昂貴的事情��。這可能就像打開龐大數(shù)量的TCP連接并強(qiáng)迫您維護(hù)它們的狀態(tài)��,或者將過多或大量的文件上傳到您的服務(wù)���,或者可能進(jìn)行非常昂貴的搜索����,或者真正做任何昂貴的處理����。流量在您計劃和可以承擔(dān)的范圍內(nèi),但是所提出的請求類型太昂貴�,無法處理這么多���。
如果是遇到這種類型的攻擊�,有可能你的配置存在錯誤�����,或者程序存在 bug ����。如:
1) 您可能打開了過于冗長的日志記錄���,并且可能將日志存儲在寫入速度非常慢的內(nèi)容上。如果有人意識到這一點��,并做了很多導(dǎo)致你將大量日志寫入磁盤的東西�,那么你的服務(wù)器就會慢慢爬行。
2)您的應(yīng)用軟件有可能在輸入場景下做了大量極端低效的操作���。如果程序或進(jìn)程很多情況將更加明顯���,比如有很多的狀態(tài)開放連接,或者很多的子進(jìn)程��。這些 bug 也將被攻擊者利用和放大���。
•解決方案
1) 通過防火墻丟棄流量是常見方案�����,尤其是對于有一些特定特性的流量��,在流量很小的時候可以通過 tcpdump 抓包分析���,在防火墻上配置��。
2)修復(fù)軟件 bug ���;檢查進(jìn)程和子進(jìn)程,限制傳入請求����、每個IP的連接數(shù)、及允許的子進(jìn)程數(shù)�。
3)修復(fù)配置錯誤,比如:將生產(chǎn)系統(tǒng)上的日志記錄調(diào)低到合理的水平(因程序而異�,通常涉及確保“調(diào)試”和“詳細(xì)”日志記錄級別關(guān)閉��;日志記錄適當(dāng)即可����,不需太冗長)��;
4)毫無疑問�����,配置越高,抵抗此類攻擊效果會越好����。所以不要過于吝嗇你的CPU、內(nèi)存��,確保應(yīng)用程序與后端數(shù)據(jù)庫和磁盤存儲等連接快速可靠�����。
3.3 基于漏洞的 DDoS 攻擊
•分析
類似于基于負(fù)載的DoS��,并且具有基本相同的原因和解決方案����。
不同之處僅在于,在這種情況下�����,錯誤不會導(dǎo)致您的服務(wù)器浪費(fèi)�,而是會直接死亡。攻擊者通常利用遠(yuǎn)程崩潰漏洞����,例如亂碼輸入���,導(dǎo)致無法解除引用或服務(wù)中的某些內(nèi)容。
•解決方案
處理這類攻擊的方法����,類似于處理未經(jīng)授權(quán)的遠(yuǎn)程訪問攻擊。
1)可以針對發(fā)起主機(jī)和固定的流量類型配置防火墻�。
2)如果可以的話,使用驗證反向代理�。
3)收集證據(jù)(嘗試捕獲一些流量),向供應(yīng)商提交bug�,并考慮針對來源尋求法律申訴。
4)攻擊者如果可以找到漏洞����,這些攻擊的發(fā)起成本會相當(dāng)便宜,并且它們可以非常直接有效��,但也相對容易追蹤和停止�����。
5)需要注意的是���,對基于流量的DDoS有用的技術(shù)通常對基于漏洞的DoS無用���。
DDOS攻擊解決方法
1、使用高防服務(wù)器
同和合理的使用高防主機(jī)可以更好的防止企業(yè)的因為DDOS攻擊而造成無法正常訪問的癥狀�����,高防主機(jī)不僅在防御性能上比一般服務(wù)器要好����,在整體的服務(wù)器配置上也會相對于普通服務(wù)器要高一些,所以使用起來的綜合性能要更好一些���。
2����、確保服務(wù)器系統(tǒng)的安全
使用高防主機(jī)后��,也需要確保服務(wù)器軟件沒有任何漏洞���,防止攻擊者入侵����。并進(jìn)行好定期的漏洞掃描工作防止因為系統(tǒng)漏洞的原因,導(dǎo)致攻擊者入侵�����,造成不可挽回的后果����。
3、隱藏源站真實IP
大部分的DDOS攻擊都是針對于IP的一種流量型攻擊���,所以保護(hù)好源站IP是一件至關(guān)重要的事情���。隱藏源站IP,我們可以通過高防CDN�����、高防IP等建立于服務(wù)器基礎(chǔ)之上的防御產(chǎn)品去進(jìn)行服務(wù)器IP的隱藏�。通過使用這類增值性產(chǎn)品后,服務(wù)器的IP會進(jìn)行相應(yīng)的解析��,外界訪問時將看不到真實的服務(wù)IP���。
以上就是關(guān)于面對DDOS攻擊����,我們常見的幾種防護(hù)方式了,大家可以依據(jù)自己站點的實際情況去選用適合的防護(hù)方式����,當(dāng)然如果網(wǎng)站攻擊不是特別大�����,選用適合防御值的高防服務(wù)器即可�,如果網(wǎng)站經(jīng)常被攻擊或攻擊值比較大,選用適合的防御產(chǎn)品對源站IP進(jìn)行隱藏還是比較有效的��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
