DDoS攻擊的危害很大����,而且很難防范��,可以直接導(dǎo)致網(wǎng)站宕機(jī)、服務(wù)器癱瘓����,造成權(quán)威受損、品牌蒙羞��、財(cái)產(chǎn)流失等巨大損失��,嚴(yán)重威脅著中國互聯(lián)網(wǎng)信息安全的發(fā)展����。
什么是DDOS攻擊?
分布式拒絕服務(wù)攻擊(DDOS)是目前常見的網(wǎng)絡(luò)攻擊方法�。簡單來說�,很多DoS攻擊源一起攻擊某臺(tái)服務(wù)器就形成了DDOS攻擊�����,從而成倍地提高拒絕服務(wù)攻擊的威力����。
通常�����,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個(gè)“肉雞”上����,代理程序收到指令時(shí)就發(fā)動(dòng)攻擊��。
隨著DDOS攻擊的成本越來越低,很多人就通過DDOS來實(shí)現(xiàn)對某個(gè)網(wǎng)站或某篇文章的“下線”功能����,某篇文章可能因?yàn)閮?nèi)容質(zhì)量好,在搜索引擎有較高的排名,但如果因?yàn)镈DOS導(dǎo)致網(wǎng)站長時(shí)間無法訪問�,搜索引擎則會(huì)將這篇文章從索引中刪除��,網(wǎng)站的權(quán)重也會(huì)降低,因?yàn)檫_(dá)到了“下線”文章的目的��。
常見的DDoS攻擊種類:
網(wǎng)絡(luò)層攻擊:比較典型的攻擊類型是UDP反射攻擊��,例如:NTP Flood攻擊����,這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬�,導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問����。
傳輸層攻擊:比較典型的攻擊類型包括SYN Flood攻擊���、連接數(shù)攻擊等����,這類攻擊通過占用服務(wù)器的連接池資源從而達(dá)到拒絕服務(wù)的目的�����。
會(huì)話層攻擊:比較典型的攻擊類型是SSL連接攻擊,這類攻擊占用服務(wù)器的SSL會(huì)話資源從而達(dá)到拒絕服務(wù)的目的��。
應(yīng)用層攻擊:比較典型的攻擊類型包括DNS flood攻擊�����、HTTP flood攻擊��、游戲假人攻擊等�����,這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達(dá)到拒絕服務(wù)的目的�����。
確保服務(wù)器系統(tǒng)安全
1.確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)丁�。
2.管理員需對所有主機(jī)進(jìn)行檢查���,知道訪問者的來源。
3.關(guān)閉不必要的服務(wù):在服務(wù)器上刪除未使用的服務(wù)����,關(guān)閉未使用的端口����。
4.限制同時(shí)打開的SYN半連接數(shù)目,縮短SYN半連接的time out 時(shí)間,限制SYN/ICMP流量���。
5.正確設(shè)置防火墻���,在防火墻上運(yùn)行端口映射程序或端口掃描程序。
6.認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志��。只要日志出現(xiàn)漏洞或是時(shí)間變更,那這臺(tái)機(jī)器就可能遭到了攻擊����。
7.限制在防火墻外與網(wǎng)絡(luò)文件共享���。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì),若黑客以特洛伊木馬替換它�,文件傳輸功能無疑會(huì)陷入癱瘓��。
8.充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源��。
常見DDOS防御方式
1�、隱藏服務(wù)器真實(shí)IP
服務(wù)器防御DDOS攻擊最根本的措施就是隱藏服務(wù)器真實(shí)IP地址�。當(dāng)服務(wù)器對外傳送信息時(shí)就可能會(huì)泄露IP�,例如,我們常見的使用服務(wù)器發(fā)送郵件功能就會(huì)泄露服務(wù)器的IP���。
因而�,我們在發(fā)送郵件時(shí),需要通過第三方代理發(fā)送��,這樣子顯示出來的IP是代理IP�����,因而不會(huì)泄露真實(shí)IP地址���。在資金充足的情況下��,可以選擇高防服務(wù)器��,且在服務(wù)器前端加CDN中轉(zhuǎn)�����,所有的域名和子域都使用CDN來解析�。
使用天下數(shù)據(jù)DDos高防IP后���,你可以將域名解析到天下數(shù)據(jù)DDos高防IP后���,由天下數(shù)據(jù)DDos高防IP轉(zhuǎn)發(fā)的您的真實(shí)IP地址�����,這樣就達(dá)到隱藏真實(shí)IP 目標(biāo),使用源站隱藏功能后����,您的網(wǎng)站源IP將不再暴露�����,攻擊者將無法直接攻擊您的網(wǎng)站服務(wù)器���。
2�、關(guān)閉不必要的服務(wù)或端口
這也是服務(wù)器運(yùn)維人員最常用的做法����。在服務(wù)器防火墻中,只開啟使用的端口�����,比如網(wǎng)站web服務(wù)的80端口�、數(shù)據(jù)庫的3306端口��、SSH服務(wù)的22端口等�。關(guān)閉不必要的服務(wù)或端口�,在路由器上過濾假IP。
3���、購買高防提高承受能力
該措施是通過購買高防的盾機(jī),提高服務(wù)器的帶寬等資源����,來提升自身的承受攻擊能力���。對于普通中小企業(yè)甚至不合適����,且不被攻擊時(shí)造成服務(wù)器資源閑置����,所以這里不過多闡述�。
4�����、限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬��,這樣,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí)����,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵���。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了��,不過仍然能夠起到一定的作用����。
5�����、網(wǎng)站請求IP過濾
除了服務(wù)器之外��,網(wǎng)站程序本身安全性能也需要提升���。以小編自己的個(gè)人博客為例�,使用cms做的。系統(tǒng)安全機(jī)制里的過濾功能���,通過限制單位時(shí)間內(nèi)的POST請求�����、404頁面等訪問操作�����,來過濾掉次數(shù)過多的異常行為��。雖然這對DDOS攻擊沒有明顯的改善效果��,但也在一定程度上減輕小帶寬的惡意攻擊�����。
6��、部署DNS智能解析
通過智能解析的方式優(yōu)化DNS解析����,可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險(xiǎn)�����。同時(shí)��,建議您將業(yè)務(wù)托管至多家DNS服務(wù)商���。
屏蔽未經(jīng)請求發(fā)送的DNS響應(yīng)信息
丟棄快速重傳數(shù)據(jù)包
啟用TTL
丟棄未知來源的DNS查詢請求和響應(yīng)數(shù)據(jù)
丟棄未經(jīng)請求或突發(fā)的DNS請求
啟動(dòng)DNS客戶端驗(yàn)證
對響應(yīng)信息進(jìn)行緩存處理
使用ACL的權(quán)限
利用ACL,BCP38及IP信譽(yù)功能
7���、提供余量帶寬
通過服務(wù)器性能測試���,評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)�����。在購買帶寬時(shí)確保有一定的余量帶寬�,可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況���。
8、高防CDN�。
CDN的英文全名是內(nèi)容分發(fā)網(wǎng)絡(luò)。通過部署在網(wǎng)絡(luò)上不同地方的邊緣節(jié)點(diǎn)服務(wù)器�����,能夠讓用戶以最短的距離和時(shí)間獲得其需要的內(nèi)容,從而避免單節(jié)點(diǎn)帶來的網(wǎng)絡(luò)擁堵和信息延遲����。正是因?yàn)镃DN在全網(wǎng)都能布置節(jié)點(diǎn),并且可以隱藏原服務(wù)器IP地址的功能�,CDN除了可以用來加速網(wǎng)絡(luò)服務(wù)外,還能用來當(dāng)高防服務(wù)器使用���。相比臨時(shí)租用高防帶寬�����,高防CDN的價(jià)格極其便宜�。比如天下數(shù)據(jù)的高防CDN�,50G防御的起步價(jià)每月僅需5500元,費(fèi)用不到租用帶寬防御的1/10��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
