在互聯(lián)網(wǎng)高度發(fā)展的今天�����,互聯(lián)網(wǎng)公司正面臨著十分激烈的市場競爭����,不僅要承擔比金子還貴的流量費用�����,還要面對來自技術���、產(chǎn)品、品牌�����、營銷�,和人才等多方面的競爭壓力,公司要在市場中突圍而出變得愈發(fā)艱難��。
因此�����,一旦做成一個網(wǎng)站或APP項目��,互聯(lián)網(wǎng)公司無不將其視為珍寶����,十分珍惜��。但木秀于林�,風必摧之�。脫穎而出自然會受到高度關注,其中不乏黑產(chǎn)和競爭對手的目光�。為了有利可圖,黑產(chǎn)有可能對你公司的網(wǎng)站或者APP發(fā)起DDoS攻擊��,向你勒索贖金�,從中牟利;競爭對手為了保持競爭優(yōu)勢��,有可能向你發(fā)起惡意DDoS攻擊����,企圖將你打垮,吞噬你的市場份額�����,那么怎么做好DDOS防御呢���?
一、DDoS 常見攻擊類型:
ICMP 泛洪:該攻擊通過向目標 IP 發(fā)送大量 ICMP 包�,占用帶寬,從而導致合法報文無法達到目的地,達到攻擊目的����。
Smurf 攻擊:攻擊者先使用受害主機的地址,向一個廣播地址發(fā)送 ICMP 回響請求���,在此廣播網(wǎng)絡上���,潛在的計算機會做出響應,大量響應將發(fā)送到受害主機��,此攻擊后果同 ICMP 泛洪����,但比之更為隱秘。
SYN 泛洪:蓄意侵入 tcp 三次握手并打開大量的 TCP/IP 連接而進行的攻擊�,該攻擊利用 IP 欺騙,向受害者的系統(tǒng)發(fā)送看起來合法的 SYN 請求���,而事實上該源地址不存在或當時不在線���,因而回應的 ACK 消息無法到達目的,而受害者的系統(tǒng)被大量的這種半開連接充滿����,資源耗盡�,而合法的連接無法被響應�。
UDP 泛洪:該攻擊通過向目標 IP 發(fā)送大量 UDP 包,占用帶寬����,消耗資源。
Fraggle 攻擊:該攻擊是 smurf 的變種��,針對防火墻對 ICMP 包檢查比較嚴格的前提下�,不再向廣播地址發(fā) ICMP 請求包,而是改為發(fā)送 UDP 包�。
Small-packet 攻擊:IP 小報文攻擊是發(fā)送大量的小報文到被攻擊系統(tǒng)來消耗系統(tǒng)的資源。
bad mac intercept:目的 MAC 地址等于源 MAC 地址的報文攻擊�����。
bad ip equal:目的 IP 地址等于源 IP 地址的報文攻擊�。
二、防御方法:
確保服務器的系統(tǒng)文件是最新的版本����,并及時更新系統(tǒng)補丁�����。
關閉不必要的服務。
限制同時打開的 SYN 半連接數(shù)目�。
縮短 SYN 半連接的 time out 時間。
正確設置防火墻 禁止對主機的非開放服務的訪問 限制特定 IP 地址的訪問 啟用防火墻的防 DDoS 的屬性 嚴格限制對外開放的服務器的向外訪問 運行端口映射程序禍端口掃描程序����,要認真檢查特權端口和非特權端口。
認真檢查網(wǎng)絡設備和主機/服務器系統(tǒng)的日志�����。只要日志出現(xiàn)漏洞或是時間變更���,那這臺機器就可能遭到了攻擊���。
限制在防火墻外與網(wǎng)絡文件共享。這樣會給黑客截取系統(tǒng)文件的機會��,主機的信息暴露給黑客����,無疑是給了對方入侵的機會。
使用 unicast reverse-path 訪問控制列表(ACL)過濾���, 設置 SYN 數(shù)據(jù)包流量速率���,升級版本過低的 ISO 為路由器建立 log server 能夠了解 DDoS 攻擊的原理����,對我們防御的措施在加以改進�����,我們就可以擋住一部分的 DDoS 攻擊��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
