隨著DDOS攻擊在互聯(lián)網(wǎng)上的肆虐泛濫�,使得DDoS的防范工作變得更加困難。數(shù)據(jù)顯示��,今年Q2���,DDoS攻擊活動(dòng)創(chuàng)下新紀(jì)錄�����,同比增長(zhǎng)了132%���。其中���,最大規(guī)模的DDoS攻擊峰值流量超過(guò)了240 Gbps,持續(xù)了13個(gè)小時(shí)以上�。目前而言,黑客甚至對(duì)攻擊進(jìn)行明碼標(biāo)價(jià)�����,打1G的流量到一個(gè)網(wǎng)站一小時(shí)����,只需50塊錢。DDoS的成本如此之低����,而且攻擊了也沒(méi)人管,那么����,廣大的網(wǎng)站用戶應(yīng)該采取怎樣的措施進(jìn)行有效的防御呢?下面我就介紹一下防御DDoS的基本方法。
1�����、配置您的網(wǎng)絡(luò)硬件以抵抗DDoS攻擊
您可以購(gòu)買相關(guān)的網(wǎng)絡(luò)硬件��,以幫助防止DDoS攻擊���。另外�,配置防火墻或路由器以丟棄傳入的ICMP數(shù)據(jù)包或阻止來(lái)自網(wǎng)絡(luò)外部的DNS響應(yīng)(通過(guò)阻止UDP端口53)可以幫助防止某些基于DNS和ping攻擊���。
2����、部署防DDoS硬件和軟件模塊
您的服務(wù)器應(yīng)該受到網(wǎng)絡(luò)防火墻和更專業(yè)的Web應(yīng)用程序防火墻的保護(hù)����,并且您還應(yīng)該使用負(fù)載平衡器。現(xiàn)在�,許多硬件供應(yīng)商都提供了針對(duì)DDoS協(xié)議攻擊(例如SYN Flood攻擊)的軟件保護(hù),例如��,通過(guò)監(jiān)視存在多少個(gè)不完整的連接并在數(shù)量達(dá)到可配置的閾值時(shí)刷新它們����,來(lái)對(duì)其進(jìn)行保護(hù)��。
還可以將特定的軟件模塊添加到某些Web服務(wù)器軟件中����,以提供某些DDoS防護(hù)功能����。例如,Apache 2.2.15附帶了一個(gè)名為mod_reqtimeout的模塊��,以保護(hù)自己免受諸如Slowloris攻擊之類的應(yīng)用程序?qū)庸���,該攻擊?huì)打開(kāi)與Web服務(wù)器的連接�����,然后通過(guò)發(fā)送部分請(qǐng)求直到它們連接到服務(wù)器��,從而盡可能長(zhǎng)時(shí)間地保持打開(kāi)狀態(tài)服務(wù)器不能再接受新的連接��。
3����、部署DDoS保護(hù)設(shè)備
許多安全廠商,包括NetScout Arbor����,F(xiàn)ortinet����,Check Point,Cisco和Radware��,都提供位于網(wǎng)絡(luò)防火墻前面的設(shè)備�����,旨在阻止DDoS攻擊生效���。他們使用多種技術(shù)來(lái)執(zhí)行此操作���,包括執(zhí)行流量行為基準(zhǔn),然后阻止異常流量��,以及基于已知攻擊特征阻止流量����。
4��、購(gòu)買更多帶寬
在防止DDoS攻擊的所有方法中����,確保您有足夠的帶寬來(lái)處理可能由惡意流量造成的流量峰值�����。隨著ddos放大攻擊的興起�,現(xiàn)在購(gòu)買更多帶寬提高了攻擊者必須克服的障礙,攻擊者要發(fā)起成功的DDoS攻擊�����,但是就其本身而言���,購(gòu)買更多帶寬并不是DDoS攻擊解決方案����。
5���、盡可能將攻擊引流到不同區(qū)域
為使攻擊者盡可能難以成功地對(duì)服務(wù)器發(fā)起DDoS攻擊����,請(qǐng)確保使用負(fù)載平衡系統(tǒng)將它們分布在多個(gè)數(shù)據(jù)中心之間,并在它們之間分配流量��,高防ip�,高防cdn的原理針對(duì)此模型而設(shè)計(jì)的。如果可能����,這些數(shù)據(jù)中心應(yīng)位于不同的國(guó)家����,或至少位于同一國(guó)家的不同區(qū)域。
為了使此策略真正有效�,必須確保數(shù)據(jù)中心連接到不同的網(wǎng)絡(luò),并且這些網(wǎng)絡(luò)上沒(méi)有明顯的網(wǎng)絡(luò)瓶頸或單點(diǎn)故障����。在地理上和地形上分布服務(wù)器將使攻擊者很難成功地攻擊多于一部分的服務(wù)器,而使其他服務(wù)器不受影響��,并且能夠承擔(dān)受影響的服務(wù)器正常處理的至少一些額外流量��。
這種防止DDoS攻擊的方法的主要缺點(diǎn)在于����,設(shè)備本身在處理流量方面受到限制��。盡管高端設(shè)備可能能夠檢查高達(dá)80Gbps左右的流量�����,但如今的DDoS攻擊很容易比這大一個(gè)數(shù)量級(jí)��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
