要懂ddos防護的就首先必須知道的是ddos攻擊方式,其大概可以分為三大類:以力取勝����,也就是大量數(shù)據(jù)包從互聯(lián)網(wǎng)的各個角落涌入,阻塞了IDC門戶�,使各種功能強大的硬件防御系統(tǒng),快速高效的應(yīng)急流程變得無用��;以巧取勝����,難于檢測,每隔幾分鐘甚至僅發(fā)送一個軟件包���,就可以讓配置服務(wù)器不再響應(yīng);最后就是兩種情況的混合情況了���。必看的ddos防護經(jīng)驗介紹��,將告訴你秘訣哦���。
一�、行業(yè)現(xiàn)象
1.1 為什么要攻擊�?
常見的,一個是同行惡意競爭����,一個是敲詐勒索。
無論是傳統(tǒng)行業(yè)的線下門店���,還是互聯(lián)網(wǎng)行業(yè)的門戶網(wǎng)站����、APP產(chǎn)品��,都存在著競爭關(guān)系���,爭相獲得更多客源���,究其目的,無非是為了賺錢����。
1.2 被攻擊有什么癥狀�?
傳統(tǒng)行業(yè)線下門店來講����,你開了一家飯店,正正經(jīng)經(jīng)做生意����,生意也還不錯。這兩天經(jīng)常有一大堆人進飯店��,但是不點菜就占著位置不消費�,或者動不動有乞丐在門口守著,有人在飯菜里面吃到蟲子等等���,這就是傳統(tǒng)行業(yè)的惡意競爭���。
互聯(lián)網(wǎng)行業(yè)同理,你的門戶網(wǎng)站或者APP產(chǎn)品一直正常運行��,也沒有做推廣導(dǎo)流大量用戶�����,但是系統(tǒng)突然無法訪問��,或者卡的要死�����,技術(shù)檢查說是服務(wù)器流量暴增��,導(dǎo)致服務(wù)器崩潰���,阿里云ECS被拉入黑洞�,無法訪問�。
用戶無法正常使用你的產(chǎn)品,自然會覺得你的系統(tǒng)不穩(wěn)定���,導(dǎo)致用戶流失��。
1.3 惡意競爭的對手一般是不會攻擊�����,那他是怎么做到的���?
“發(fā)單者”,發(fā)起惡意競爭的對手���,或者是敲詐勒索的主����,即“老板”;
“攻擊者”�����,收到發(fā)單者的訂單�����,通過專業(yè)技術(shù)手段對目標進行攻擊操作�����,即“項目經(jīng)理”�;
“肉雞供應(yīng)商”,即給攻擊者提供資源的供應(yīng)商��,資源即“搗亂者”���;
另��,本圖只是簡單介紹攻擊產(chǎn)業(yè)鏈�����,還有其他角色此處就不做詳細介紹�����,后續(xù)我們再出專題討論�。
1.4 哪些行業(yè)更有可能被攻擊��?
游戲(棋牌�����、網(wǎng)游私服)類
某顏色類網(wǎng)站類
金融類
虛擬貨幣類
簡單分析下上述類行業(yè)���,他們至少有一個非常關(guān)鍵的共同點:有錢�!
二����、常見攻擊方式
2.1 DDoS攻擊
DDoS攻擊是利用網(wǎng)絡(luò)上被攻陷的電腦作為“肉雞”,通過一定方式組合形成數(shù)量龐大的“僵尸網(wǎng)絡(luò)”����,采用一對多的方式進行控制�����,向目標系統(tǒng)同時提出服務(wù)請求��,超出服務(wù)器的承載量��,導(dǎo)致服務(wù)器崩潰的攻擊技術(shù)��。
簡單的說�����,就是你的飯館最多承載100個客人在店里面消費���,當被人家惡意攻擊時,突然有很多人往店里擠���,不光是從大門進���,還有后門,爬窗����,各式各樣的��,導(dǎo)致店里沒辦法控制���,并且人滿為患,真正的消費者無法進入飯店消費�����,最后歇菜�����。
一般DDoS攻擊有 NTP Flood��、ICMP Flood�����、UDP Flood�、SYN Flood��、DNS Query Flood 等��,由于專業(yè)描述過于復(fù)雜,此處不做詳細介紹���。
2.2 cc攻擊
cc攻擊主要分代理cc和肉雞cc��,其目的都是通過控制大量的請求�,訪問受害主機的合法網(wǎng)頁或接口��,導(dǎo)致服務(wù)端應(yīng)用層(如java的tomcat)無法正常響應(yīng)�����,服務(wù)器CPU長時間處于100%狀態(tài)�����,網(wǎng)絡(luò)帶寬被占滿����,數(shù)據(jù)庫被拖死等情況。
簡單的說��,當你的飯館被惡意cc攻擊時����,突然來了很多客人���,他們雖然不爬窗不抄后門,但是仍然把你的大門給擠滿堵死���,真正的客人無法進入�����,人又多���,飯館的服務(wù)員忙不過來�,最后歇菜。
這種攻擊技術(shù)性含量高�����,見不到真實源IP���,見不到特別大的異常流量�,但服務(wù)器就是無法進行正常連接��。所以cc攻擊成本也相對高一些��,如果不是真的有什么深仇大恨,一般不會持續(xù)多久��。
三��、DDoS攻擊防護
3.1 理解DDoS攻擊原理
首先我們要知道�,最基礎(chǔ)的網(wǎng)站部署是怎么實現(xiàn)的,用戶通過瀏覽器訪問域名����,域名再轉(zhuǎn)發(fā)到你的源服務(wù)器。
然后我們要了解DDoS攻擊原理����,他們攻擊的,是你的源服務(wù)器�����,也就是你的飯館門店�����。因為一般域名都是顯示指向服務(wù)器的ip����,也就是你的門店定位是暴露給客戶的��,所以攻擊者是可以直接找到門店進行攻擊��。
3.2 前置路由服務(wù)器����,保護源服務(wù)器
所以要防護DDoS攻擊第一步����,是要保護好我們的源服務(wù)器,不讓對方知道我們的源服務(wù)器地址��,即加一個前置路由服務(wù)器����,一般我們是使用NGINX����、Apache等軟路由,部署如下圖�����。
3.3 路由服務(wù)器被打死怎么辦
上述架構(gòu)圖中�����,只是保證了源服務(wù)器不被影響,但是前置路由服務(wù)器被打死����,用戶依然訪問不了,所以有的朋友已經(jīng)想到了���,我們再換一個路由服務(wù)器�����,部署如下圖���。
但這種方式,必須要人工將域名轉(zhuǎn)發(fā)配置重新改成新的路由服務(wù)器����,并且域名轉(zhuǎn)發(fā)最慢可能要10分鐘,所以存在部分用戶短時間內(nèi)無法正常訪問的弊端��。
3.4 高富帥的完美做法
前面講到的多路由服務(wù)器的方式�����,存在明顯的體驗差的弊端,那么有沒有更好的方式呢�?當然有,就是費點錢�����。比如阿里云��,就有他們自己的高防服務(wù)�,20000元包月,打底30G流量�,超出的流量按量付費。 舉個例子��,這個月��,你被攻擊了5次����,每次平均流量時100G�,那么也就是說,你要額外再出 70G * 5 * 平均小時 的額外流量費用����。(我一個搞游戲的朋友被同行惡意攻擊�,一個晚上的功夫�����,就是1萬多的超額費用�。。�����。)��,部署架構(gòu)圖如下�。
3.5 想要有阿里云高防IP的服務(wù)又想節(jié)省成本
阿里云高防IP的做法,其實就是自己做了一套清洗規(guī)則����,我們百度阿里云高防可以看到,很多競價排名在前面的都是一些機房��,他們的做法跟阿里云的做法原理也是差不多的�,并且價格要比阿里云便宜不少,那么靠譜嗎���?
競價排名嘛��,羊毛出在羊身上����,所以對于他們的同行來說,價格肯定也是偏高的���,穩(wěn)不穩(wěn)定得看口碑了����。我們之前做互聯(lián)網(wǎng)金融的時候����,被別人敲詐勒索,最后也是找到一個比較靠譜的機房做的防護���,他們24小時在線查處問題��,后面也一直處于比較清靜的狀態(tài)�����。
四、cc攻擊防護
4.1 理解cc攻擊原理
cc攻擊不同于普通的DDoS攻擊,玩的是合法的網(wǎng)絡(luò)請求����,也就是說他就是通過域名網(wǎng)頁請求過去的,也是因為他本身就不需要繞過門面直接攻擊源服務(wù)器��,那么即使加上普通的前置路由服務(wù)器���,也是沒用的����。
既然不需要隱式保護源服務(wù)器�����,那要怎么處理呢����?
一般cc攻擊都是有策略的,通過識別出當時攻擊的策略���,防護修改對應(yīng)的應(yīng)對策略即可�。(當然����,沒點專業(yè)技術(shù)能力的�����,這個應(yīng)對策略也是做不到的)
4.2 如何找到專業(yè)的cc攻擊策略防護
同樣�����,也是使用類阿里云的高防IP��,當服務(wù)器被攻擊時��,會提示你的服務(wù)器當前在被什么策略的cc攻擊��,對應(yīng)的人為在高防管理后臺修改防護策略即可應(yīng)對����。
另一個就是前面說的機房���,他們也是同樣的方式����,只是因為接入了機房�����,被攻擊的對象就是他們的服務(wù)器,所以就讓他們機房自己修改策略應(yīng)對就好了����,你只需要觀察你的客戶是否可以正常訪問即可���。
了解了攻擊方式���,也許你大概就知道怎么去防護了。當高級攻擊者侵入開始緩存時���,清潔設(shè)備將攔截HTTP請求并進行特殊處理���。最簡單的方法是統(tǒng)計原IP的HTTP請求頻率,高于特定頻率的IP地址添加到黑名單中��。該方法簡單�,但是容易造成誤殺,并且不能阻止來自代理服務(wù)器的攻擊��,因此逐漸被廢除�����。另一種防御是DNS攻擊防御,也是跟HTTP的防御是很類似的���。第一就是緩存卡����,第二是重傳����,這也許是由于直接丟棄DNS數(shù)據(jù)包,而導(dǎo)致UDP層重新發(fā)送請求而引起的哦�。為了保護授權(quán)域DNS,設(shè)備會提取接收到的DNS域名列表和ISP DNS IP列表��,以便在正常服務(wù)期間進行備份���。這時發(fā)起攻擊����,未包含在此列表中的請求將被丟棄��,從而大大降低了性能壓力���。對于域名�����,實現(xiàn)相同的域名白名單機制����,非白名單中的域名解析請求被丟棄���。另一種是方法就是統(tǒng)計每個TCP連接的長度��,并計算單位時間內(nèi)通過的數(shù)據(jù)包的數(shù)量��,這樣就可以準確識別��。在TCP連接中���,HTTP報文太少,異常報文過多��������?赡茉赥CP連接上發(fā)送了太多使用HTTP 1.1協(xié)議的HTTP泛洪攻擊����。那么就會發(fā)送多個HTTP請求了。
如果您目前正在面臨DDOS攻擊 可以聯(lián)系防御吧網(wǎng)絡(luò)安全團隊�����,關(guān)注防御吧君��,了解更多關(guān)于防護方面的知識哦���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
