隨著網(wǎng)絡(luò)技術(shù)發(fā)展����,DDOS攻擊也在不斷進(jìn)化�,攻擊成本越來越低,而攻擊力度卻成倍加大�����,使得DDOS更加難以防范。比如反射型DDoS攻擊就是相對(duì)高階的攻擊方式�����。攻擊者并不直接攻擊目標(biāo)服務(wù)IP�,而是通過偽造被攻擊者的IP向全球特殊的服務(wù)器發(fā)請(qǐng)求報(bào)文,這些特殊的服務(wù)器會(huì)將數(shù)倍于請(qǐng)求報(bào)文的數(shù)據(jù)包發(fā)送到那個(gè)被攻擊的IP(目標(biāo)服務(wù)IP)�����。
DDOS攻擊讓人望而生畏�����,它可以直接導(dǎo)致網(wǎng)站宕機(jī)�����、服務(wù)器癱瘓����,對(duì)網(wǎng)站乃至企業(yè)造成嚴(yán)重?fù)p失。而且DDOS很難防范���,可以說目前沒有根治之法����,只能盡量提升自身“抗壓能力”來緩解攻擊,比如購買高防服務(wù)����。
DDoS攻擊簡(jiǎn)介
分布式拒絕服務(wù)攻擊(DDoS攻擊)是一種針對(duì)目標(biāo)系統(tǒng)的惡意網(wǎng)絡(luò)攻擊行為,DDoS攻擊經(jīng)常會(huì)導(dǎo)致被攻擊者的業(yè)務(wù)無法正常訪問���,也就是所謂的拒絕服務(wù)���。
常見的DDoS攻擊包括以下幾類:
網(wǎng)絡(luò)層攻擊:比較典型的攻擊類型是UDP反射攻擊,例如:NTP Flood攻擊�,這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬,導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問�。
傳輸層攻擊:比較典型的攻擊類型包括SYN Flood攻擊、連接數(shù)攻擊等�����,這類攻擊通過占用服務(wù)器的連接池資源從而達(dá)到拒絕服務(wù)的目的��。
會(huì)話層攻擊:比較典型的攻擊類型是SSL連接攻擊���,這類攻擊占用服務(wù)器的SSL會(huì)話資源從而達(dá)到拒絕服務(wù)的目的��。
應(yīng)用層攻擊:比較典型的攻擊類型包括DNS flood攻擊���、HTTP flood攻擊、游戲假人攻擊等����,這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達(dá)到拒絕服務(wù)的目的。
DDoS攻擊緩解最佳實(shí)踐
建議防御盾用戶從以下幾個(gè)方面著手緩解DDoS攻擊的威脅:
縮小暴露面����,隔離資源和不相關(guān)的業(yè)務(wù),降低被攻擊的風(fēng)險(xiǎn)���。
優(yōu)化業(yè)務(wù)架構(gòu)����,利用公共云的特性設(shè)計(jì)彈性伸縮和災(zāi)備切換的系統(tǒng)�。
服務(wù)器安全加固,提升服務(wù)器自身的連接數(shù)等性能����。
做好業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)�。
DDOS攻擊應(yīng)對(duì)策略
這里我們分享一些在一定程度范圍內(nèi)����,能夠應(yīng)對(duì)緩解DDOS攻擊的策略方法,以供大家借鑒�。
1.定期檢查服務(wù)器漏洞
定期檢查服務(wù)器軟件安全漏洞,是確保服務(wù)器安全的最基本措施�����。無論是操作系統(tǒng)(Windows或linux)�,還是網(wǎng)站常用應(yīng)用軟件(mysql、Apache��、nginx���、FTP等)�����,服務(wù)器運(yùn)維人員要特別關(guān)注這些軟件的最新漏洞動(dòng)態(tài)��,出現(xiàn)高危漏洞要及時(shí)打補(bǔ)丁修補(bǔ)�����。
2.隱藏服務(wù)器真實(shí)IP
通過CDN節(jié)點(diǎn)中轉(zhuǎn)加速服務(wù)����,可以有效的隱藏網(wǎng)站服務(wù)器的真實(shí)IP地址�。CDN服務(wù)根據(jù)網(wǎng)站具體情況進(jìn)行選擇,對(duì)于普通的中小企業(yè)站點(diǎn)或個(gè)人站點(diǎn)可以先使用免費(fèi)的CDN服務(wù)�,比如百度云加速、七牛CDN等�,待網(wǎng)站流量提升了,需求高了之后�,再考慮付費(fèi)的CDN服務(wù)。
其次���,防止服務(wù)器對(duì)外傳送信息泄漏IP地址��,最常見的情況是��,服務(wù)器不要使用發(fā)送郵件功能���,因?yàn)猷]件頭會(huì)泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件�����,可以通過第三方代理(例如sendcloud)發(fā)送,這樣對(duì)外顯示的IP是代理的IP地址�。
3.關(guān)閉不必要的服務(wù)或端口
這也是服務(wù)器運(yùn)維人員最常用的做法。在服務(wù)器防火墻中����,只開啟使用的端口,比如網(wǎng)站web服務(wù)的80端口���、數(shù)據(jù)庫的3306端口�、SSH服務(wù)的22端口等��。關(guān)閉不必要的服務(wù)或端口��,在路由器上過濾假IP���。
4.購買高防提高承受能力
該措施是通過購買高防的盾機(jī)�,提高服務(wù)器的帶寬等資源���,來提升自身的承受攻擊能力���。一些知名IDC服務(wù)商都有相應(yīng)的服務(wù)提供,比如防御盾���、騰訊云等���。但該方案成本預(yù)算較高�����,對(duì)于普通中小企業(yè)甚至個(gè)人站長(zhǎng)并不合適,且不被攻擊時(shí)造成服務(wù)器資源閑置����,所以這里不過多闡述。
5.限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬�����,這樣��,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí)��,說明不是正常的網(wǎng)絡(luò)訪問����,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法�����,雖然目前該方法對(duì)于DdoS效果不太明顯了,不過仍然能夠起到一定的作用����。
6.網(wǎng)站請(qǐng)求IP過濾
除了服務(wù)器之外,網(wǎng)站程序本身安全性能也需要提升�����。以小編自己的個(gè)人博客為例�����,使用cms做的�。系統(tǒng)安全機(jī)制里的過濾功能,通過限制單位時(shí)間內(nèi)的POST請(qǐng)求�、404頁面等訪問操作,來過濾掉次數(shù)過多的異常行為�。雖然這對(duì)DDOS攻擊沒有明顯的改善效果,但也在一定程度上減輕小帶寬的惡意攻擊����。
2.3 部署DNS智能解析
通過智能解析的方式優(yōu)化DNS解析,可以有效避免DNS流量攻擊產(chǎn)生的風(fēng)險(xiǎn)。同時(shí)�,建議您將業(yè)務(wù)托管至多家DNS服務(wù)商。
屏蔽未經(jīng)請(qǐng)求發(fā)送的DNS響應(yīng)信息
丟棄快速重傳數(shù)據(jù)包
啟用TTL
丟棄未知來源的DNS查詢請(qǐng)求和響應(yīng)數(shù)據(jù)
丟棄未經(jīng)請(qǐng)求或突發(fā)的DNS請(qǐng)求
啟動(dòng)DNS客戶端驗(yàn)證
對(duì)響應(yīng)信息進(jìn)行緩存處理
使用ACL的權(quán)限
利用ACL���,BCP38及IP信譽(yù)功能
2.4 提供余量帶寬
通過服務(wù)器性能測(cè)試�,評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請(qǐng)求數(shù)�。在購買帶寬時(shí)確保有一定的余量帶寬,可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況�����。
3. 服務(wù)安全加固
對(duì)服務(wù)器上的操作系統(tǒng)���、軟件服務(wù)進(jìn)行安全加固,減少可被攻擊的點(diǎn)��,增大攻擊方的攻擊成本:
確保服務(wù)器的系統(tǒng)文件是最新的版本����,并及時(shí)更新系統(tǒng)補(bǔ)丁。
對(duì)所有服務(wù)器主機(jī)進(jìn)行檢查�,清楚訪問者的來源。
過濾不必要的服務(wù)和端口����。例如����,對(duì)于WWW服務(wù)器���,只開放80端口�,將其他所有端口關(guān)閉��,或在防火墻上設(shè)置阻止策略�。
限制同時(shí)打開的SYN半連接數(shù)目,縮短SYN半連接的timeout時(shí)間����,限制SYN/ICMP流量。
仔細(xì)檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志�����。一旦出現(xiàn)漏洞或是時(shí)間變更�����,則說明服務(wù)器可能遭到了攻擊����。
限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享����。降低黑客截取系統(tǒng)文件的機(jī)會(huì)��,若黑客以特洛伊木馬替換它�����,文件傳輸功能將會(huì)陷入癱瘓�。
充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。在配置路由器時(shí)應(yīng)考慮針對(duì)流控����、包過濾、半連接超時(shí)����、垃圾包丟棄���、來源偽造的數(shù)據(jù)包丟棄��、SYN閥值�、禁用ICMP和UDP廣播的策略配置。
通過iptable之類的軟件防火墻限制疑似惡意IP的TCP新建連接��,限制疑似惡意IP的連接���、傳輸速率����。
4. 業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)
4.1 關(guān)注基礎(chǔ)DDoS防護(hù)監(jiān)控
當(dāng)您的業(yè)務(wù)遭受DDoS攻擊時(shí)��,基礎(chǔ)DDoS默認(rèn)會(huì)通過短信和郵件方式發(fā)出告警信息���,針對(duì)大流量攻擊基礎(chǔ)DDoS防護(hù)也支持電話報(bào)警�,建議您在接受到告警的第一時(shí)間進(jìn)行應(yīng)急處理�。
5.1 Web應(yīng)用防火墻(WAF)
針對(duì)網(wǎng)站類應(yīng)用,例如常見的http Flood(CC攻擊)攻擊����,可以使用WAF可以提供針對(duì)連接層攻擊、會(huì)話層攻擊和應(yīng)用層攻擊進(jìn)行有效防御����。建議使用防御盾Web應(yīng)用防火墻服務(wù)。
5.2 DDoS防護(hù)包
5.3 DDoS高級(jí)防護(hù)
針對(duì)大流量DDoS攻擊����,建議使用防御盾高防IP服務(wù)���。
應(yīng)當(dāng)避免的事項(xiàng)
DDoS攻擊是業(yè)內(nèi)公認(rèn)的行業(yè)公敵,DDoS攻擊不僅影響被攻擊者���,同時(shí)也會(huì)對(duì)服務(wù)商網(wǎng)絡(luò)的穩(wěn)定性造成影響�����,從而對(duì)處于同一網(wǎng)絡(luò)下的其他用戶業(yè)務(wù)也會(huì)造成損失�。
計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)共享環(huán)境���,需要多方共同維護(hù)穩(wěn)定��,部分行為可能會(huì)給整體網(wǎng)絡(luò)和其他租戶的網(wǎng)絡(luò)帶來影響�����,需要您注意:
避免使用防御盾產(chǎn)品機(jī)制搭建DDoS防護(hù)平臺(tái)
避免釋放處于黑洞狀態(tài)的實(shí)例
避免為處于黑洞狀態(tài)的服務(wù)器連續(xù)更換��、解綁、增加SLB IP��、彈性公網(wǎng)IP、NAT網(wǎng)關(guān)等IP類產(chǎn)品
避免通過搭建IP池進(jìn)行防御���,避免通過分?jǐn)偣袅髁康酱罅縄P上進(jìn)行防御
避免利用防御盾非網(wǎng)絡(luò)安全防御產(chǎn)品(包括但不限于CDN�����、OSS)�,前置自身有攻擊的業(yè)務(wù)
避免使用多個(gè)賬號(hào)的方式繞過上述規(guī)則
云服務(wù)器使用第三方DDoS防御手段
1�、購買阿里,騰訊����,華為的云服務(wù),最好每家都買����,分?jǐn)傦L(fēng)險(xiǎn),做服務(wù)代理����,打癱一個(gè)還有別的,這些云服務(wù)通常都有抗ddos的服務(wù)可以購買���。通過ip�,dns等技術(shù)將客戶負(fù)載到不同代理上,這些服務(wù)器對(duì)某一區(qū)域用戶只暴漏一個(gè)�����,避免被同時(shí)打癱�。
2、準(zhǔn)備備用網(wǎng)絡(luò)��,一旦被打癱可以換網(wǎng)絡(luò)�。
3、在ISP哪里購買抗DDOS防護(hù)服務(wù)�,注意是在ISP那邊,因?yàn)槟氵@邊帶寬太小�����,沒有抵抗價(jià)值�����。
4�����、保密IP地址����,防止內(nèi)鬼將IP透漏給攻擊者。
5�����、使用CDN基礎(chǔ)設(shè)施抵御ddos����,這個(gè)方案相當(dāng)于CDN提供商幫你去做前端的負(fù)載均衡、節(jié)點(diǎn)分流工作��,攻擊者打出的流量直接打到CDN基礎(chǔ)設(shè)施上����。部署操作也十分簡(jiǎn)單,cloudflare等cdn提供商的免費(fèi)方案里就包含了一定的抗ddos能力�,只要把你的網(wǎng)站接入cdn即可。
小結(jié)
目前而言�,DDOS攻擊并沒有最好的根治之法,做不到徹底防御�,只能采取各種手段在一定程度上減緩攻擊傷害。所以平時(shí)服務(wù)器的運(yùn)維工作還是要做好基本的保障��,并借鑒本文分享的方案���,將DDOS攻擊帶來的損失盡量降低到最小���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
