相信很多大型網(wǎng)站遭遇到DDoS攻擊,導(dǎo)致網(wǎng)站無法訪問而又難以解決����,包括小編的個人博客也曾接受過DDOS的“洗禮”����,對此感同身受�����。所以�����,本文我們一起來了解下DDOS攻擊并分享一些在一定程度范圍內(nèi)的應(yīng)對方案����。
關(guān)于DDOS攻擊
分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)���,將多個計算機聯(lián)合起來作為攻擊平臺��,對一個或多個目標發(fā)動DDoS攻擊��,從而成倍地提高拒絕服務(wù)攻擊的威力�����。
通常���,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個“肉雞”上�,代理程序收到指令時就發(fā)動攻擊�。
隨著網(wǎng)絡(luò)技術(shù)發(fā)展,DDOS攻擊也在不斷進化���,攻擊成本越來越低��,而攻擊力度卻成倍加大����,使得DDOS更加難以防范�。比如反射型DDoS攻擊就是相對高階的攻擊方式。攻擊者并不直接攻擊目標服務(wù)IP�����,而是通過偽造被攻擊者的IP向全球特殊的服務(wù)器發(fā)請求報文��,這些特殊的服務(wù)器會將數(shù)倍于請求報文的數(shù)據(jù)包發(fā)送到那個被攻擊的IP(目標服務(wù)IP)���。
DDOS攻擊讓人望而生畏,它可以直接導(dǎo)致網(wǎng)站宕機�����、服務(wù)器癱瘓,對網(wǎng)站乃至企業(yè)造成嚴重損失���。而且DDOS很難防范�����,可以說目前沒有根治之法��,只能盡量提升自身“抗壓能力”來緩解攻擊���,比如購買高防服務(wù)。
DDoS攻擊簡介
分布式拒絕服務(wù)攻擊(DDoS攻擊)是一種針對目標系統(tǒng)的惡意網(wǎng)絡(luò)攻擊行為�,DDoS攻擊經(jīng)常會導(dǎo)致被攻擊者的業(yè)務(wù)無法正常訪問,也就是所謂的拒絕服務(wù)�。
常見的DDoS攻擊包括以下幾類:
網(wǎng)絡(luò)層攻擊:比較典型的攻擊類型是UDP反射攻擊,例如:NTP Flood攻擊�����,這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬����,導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問。傳輸層攻擊:比較典型的攻擊類型包括SYN Flood攻擊����、連接數(shù)攻擊等�,這類攻擊通過占用服務(wù)器的連接池資源從而達到拒絕服務(wù)的目的�����。
會話層攻擊:比較典型的攻擊類型是SSL連接攻擊����,這類攻擊占用服務(wù)器的SSL會話資源從而達到拒絕服務(wù)的目的。
應(yīng)用層攻擊:比較典型的攻擊類型包括DNS flood攻擊�、HTTP flood攻擊、游戲假人攻擊等�����,這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達到拒絕服務(wù)的目的�。
DDoS攻擊緩解最佳實踐建議防御吧用戶從以下幾個方面著手緩解DDoS攻擊的威脅:
縮小暴露面�,隔離資源和不相關(guān)的業(yè)務(wù),降低被攻擊的風(fēng)險��。優(yōu)化業(yè)務(wù)架構(gòu)���,利用公共云的特性設(shè)計彈性伸縮和災(zāi)備切換的系統(tǒng)���。
服務(wù)器安全加固�����,提升服務(wù)器自身的連接數(shù)等性能���。
做好業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)。
DDOS攻擊應(yīng)對策略
這里我們分享一些在一定程度范圍內(nèi)���,能夠應(yīng)對緩解DDOS攻擊的策略方法��,以供大家借鑒�。
1.定期檢查服務(wù)器漏洞定期檢查服務(wù)器軟件安全漏洞��,是確保服務(wù)器安全的最基本措施�����。無論是操作系統(tǒng)(Windows或linux)����,還是網(wǎng)站常用應(yīng)用軟件(mysql、Apache、nginx�、FTP等),服務(wù)器運維人員要特別關(guān)注這些軟件的最新漏洞動態(tài)����,出現(xiàn)高危漏洞要及時打補丁修補。
2.隱藏服務(wù)器真實IP通過CDN節(jié)點中轉(zhuǎn)加速服務(wù)�,可以有效的隱藏網(wǎng)站服務(wù)器的真實IP地址。CDN服務(wù)根據(jù)網(wǎng)站具體情況進行選擇��,對于普通的中小企業(yè)站點或個人站點可以先使用免費的CDN服務(wù)��,比如百度云加速���、七牛CDN等�,待網(wǎng)站流量提升了�����,需求高了之后�,再考慮付費的CDN服務(wù)。
其次�,防止服務(wù)器對外傳送信息泄漏IP地址,最常見的情況是���,服務(wù)器不要使用發(fā)送郵件功能�����,因為郵件頭會泄漏服務(wù)器的IP地址��。如果非要發(fā)送郵件�,可以通過第三方代理(例如sendcloud)發(fā)送�����,這樣對外顯示的IP是代理的IP地址����。
3.關(guān)閉不必要的服務(wù)或端口這也是服務(wù)器運維人員最常用的做法。在服務(wù)器防火墻中����,只開啟使用的端口,比如網(wǎng)站web服務(wù)的80端口����、數(shù)據(jù)庫的3306端口、SSH服務(wù)的22端口等����。關(guān)閉不必要的服務(wù)或端口����,在路由器上過濾假IP�。
4.購買高防提高承受能力該措施是通過購買高防的盾機,提高服務(wù)器的帶寬等資源��,來提升自身的承受攻擊能力����。一些知名IDC服務(wù)商都有相應(yīng)的服務(wù)提供,比如防御吧���、騰訊云等��。但該方案成本預(yù)算較高���,對于普通中小企業(yè)甚至個人站長并不合適,且不被攻擊時造成服務(wù)器資源閑置���,所以這里不過多闡述�。
5.限制SYN/ICMP流量用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬��,這樣,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時����,說明不是正常的網(wǎng)絡(luò)訪問�,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法��,雖然目前該方法對于DdoS效果不太明顯了�,不過仍然能夠起到一定的作用。
6.網(wǎng)站請求IP過濾除了服務(wù)器之外����,網(wǎng)站程序本身安全性能也需要提升。以小編自己的個人博客為例���,使用cms做的���。系統(tǒng)安全機制里的過濾功能,通過限制單位時間內(nèi)的POST請求����、404頁面等訪問操作,來過濾掉次數(shù)過多的異常行為��。雖然這對DDOS攻擊沒有明顯的改善效果,但也在一定程度上減輕小帶寬的惡意攻擊�。
2.3 部署DNS智能解析
通過智能解析的方式優(yōu)化DNS解析,可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險���。同時����,建議您將業(yè)務(wù)托管至多家DNS服務(wù)商����。
屏蔽未經(jīng)請求發(fā)送的DNS響應(yīng)信息 丟棄快速重傳數(shù)據(jù)包 啟用TTL 丟棄未知來源的DNS查詢請求和響應(yīng)數(shù)據(jù) 丟棄未經(jīng)請求或突發(fā)的DNS請求 啟動DNS客戶端驗證 對響應(yīng)信息進行緩存處理 使用ACL的權(quán)限 利用ACL,BCP38及IP信譽功能2.4 提供余量帶寬
通過服務(wù)器性能測試���,評估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)��。在購買帶寬時確保有一定的余量帶寬�����,可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況��。
3. 服務(wù)安全加固對服務(wù)器上的操作系統(tǒng)���、軟件服務(wù)進行安全加固����,減少可被攻擊的點����,增大攻擊方的攻擊成本:
確保服務(wù)器的系統(tǒng)文件是最新的版本�����,并及時更新系統(tǒng)補丁��。 對所有服務(wù)器主機進行檢查�,清楚訪問者的來源。 過濾不必要的服務(wù)和端口���。例如�,對于WWW服務(wù)器�����,只開放80端口�,將其他所有端口關(guān)閉,或在防火墻上設(shè)置阻止策略�����。 限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的timeout時間���,限制SYN/ICMP流量��。 仔細檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志����。一旦出現(xiàn)漏洞或是時間變更��,則說明服務(wù)器可能遭到了攻擊�。 限制在防火墻外進行網(wǎng)絡(luò)文件共享。降低黑客截取系統(tǒng)文件的機會����,若黑客以特洛伊木馬替換它,文件傳輸功能將會陷入癱瘓��。 充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源��。在配置路由器時應(yīng)考慮針對流控���、包過濾����、半連接超時、垃圾包丟棄����、來源偽造的數(shù)據(jù)包丟棄、SYN閥值�����、禁用ICMP和UDP廣播的策略配置����。 通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接���,限制疑似惡意IP的連接����、傳輸速率�����。 4. 業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)4.1 關(guān)注基礎(chǔ)DDoS防護監(jiān)控
當您的業(yè)務(wù)遭受DDoS攻擊時��,基礎(chǔ)DDoS默認會通過短信和郵件方式發(fā)出告警信息,針對大流量攻擊基礎(chǔ)DDoS防護也支持電話報警��,建議您在接受到告警的第一時間進行應(yīng)急處理�。
5.1 Web應(yīng)用防火墻(WAF)
針對網(wǎng)站類應(yīng)用,例如常見的http Flood(CC攻擊)攻擊����,可以使用WAF可以提供針對連接層攻擊、會話層攻擊和應(yīng)用層攻擊進行有效防御�����。建議使用防御吧Web應(yīng)用防火墻服務(wù)�����。
5.2 DDoS防護包
5.3 DDoS高級防護
針對大流量DDoS攻擊��,建議使用防御吧高防IP服務(wù)��。
應(yīng)當避免的事項
DDoS攻擊是業(yè)內(nèi)公認的行業(yè)公敵�����,DDoS攻擊不僅影響被攻擊者,同時也會對服務(wù)商網(wǎng)絡(luò)的穩(wěn)定性造成影響����,從而對處于同一網(wǎng)絡(luò)下的其他用戶業(yè)務(wù)也會造成損失。
計算機網(wǎng)絡(luò)是一個共享環(huán)境�����,需要多方共同維護穩(wěn)定��,部分行為可能會給整體網(wǎng)絡(luò)和其他租戶的網(wǎng)絡(luò)帶來影響�,需要您注意:
避免使用防御吧產(chǎn)品機制搭建DDoS防護平臺 避免釋放處于黑洞狀態(tài)的實例 避免為處于黑洞狀態(tài)的服務(wù)器連續(xù)更換、解綁��、增加SLB IP���、彈性公網(wǎng)IP、NAT網(wǎng)關(guān)等IP類產(chǎn)品 避免通過搭建IP池進行防御���,避免通過分攤攻擊流量到大量IP上進行防御 避免利用防御吧非網(wǎng)絡(luò)安全防御產(chǎn)品(包括但不限于CDN�����、OSS)����,前置自身有攻擊的業(yè)務(wù) 避免使用多個賬號的方式繞過上述規(guī)則 小結(jié)目前而言,DDOS攻擊并沒有最好的根治之法���,做不到徹底防御�,只能采取各種手段在一定程度上減緩攻擊傷害�����。所以平時服務(wù)器的運維工作還是要做好基本的保障���,并借鑒本文分享的方案�,將DDOS攻擊帶來的損失盡量降低到最小����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
