DDoS攻擊�����,又叫分布式拒絕服務(wù)攻擊���,指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)�,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力��。
防御DDOS是一個(gè)系統(tǒng)工程�����,攻擊花樣多�����,防御的成本高瓶頸多,防御起來即被動(dòng)又無奈�����。DDOS的 特點(diǎn)是分布式��,針對(duì)帶寬和服務(wù)攻擊�,也就是四層流量攻擊和七層應(yīng)用攻擊,相應(yīng)的防御瓶頸四層在帶寬����,七層的多在架構(gòu)的吞吐量。對(duì)于七層的應(yīng)用攻擊����,我們還 是可以做一些配置來防御的,例如前端是Nginx����,主要使用nginx的http_limit_conn和http_limit_req模塊來防御。 ngx_http_limit_conn_module 可以限制單個(gè)IP的連接數(shù)�����,ngx_http_limit_req_module 可以限制單個(gè)IP每秒請求數(shù),通過限制連接數(shù)和請求數(shù)能相對(duì)有效的防御CC攻擊�����。
要知道如何防御DDoS攻擊���,需要先了解DDoS攻擊。
DDoS常見攻擊方式
常見的DDoS攻擊一般有三種方式���,攻擊網(wǎng)絡(luò)帶寬資源���、攻擊系統(tǒng)資源和攻擊應(yīng)用資源。
DDoS攻擊原理
上面可以看到��,DDoS攻擊有許多不同的攻擊方式��,而不同的攻擊方式原理也不盡相同�。下面列出常見DDoS攻擊方式的原理。
ICMP Flood:通過對(duì)目標(biāo)系統(tǒng)發(fā)送海量數(shù)據(jù)包����,就可以令目標(biāo)主機(jī)癱瘓,如果大量發(fā)送就成了洪水攻擊��。
UDP Flood:攻擊者通常發(fā)送大量偽造源IP地址的小UDP包��,100k bps的就能將線路上的骨干設(shè)備例如防火墻打癱,造成整個(gè)網(wǎng)段的癱瘓��。
ACK Flood: 目前ACK Flood并沒有成為攻擊的主流�,而通常是與其他攻擊方式組合在一起使用。
NTP Flood:攻擊者使用特殊的數(shù)據(jù)包���,也就是IP地址指向作為反射器的服務(wù)器����,源IP地址被偽造成攻擊目標(biāo)的IP��,這樣一來可能只需要1Mbps的上傳帶寬欺騙NTP服務(wù)器��,就可給目標(biāo)服務(wù)器帶來幾百上千Mbps的攻擊流量����。
SYN Flood:一種利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求�,從而使得被攻擊方資源耗盡的攻擊方式。
CC 攻擊:由于CC攻擊成本低�、威力大據(jù)調(diào)查目前80%的DDoS攻擊都是CC攻擊。CC攻擊是借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求��,實(shí)現(xiàn)偽裝和DDoS。這種攻擊技術(shù)性含量高����,見不到真實(shí)源IP,見不到特別大的異常流量���,但服務(wù)器就是無法進(jìn)行正常連接���。
DNS Query Flood:DNS Query Flood采用的方法是操縱大量傀儡機(jī)器�,向目標(biāo)服務(wù)器發(fā)送大量的域名解析請求。解析過程給服務(wù)器帶來很大的負(fù)載�����,每秒鐘域名解析請求超過一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)����。
DDoS攻擊現(xiàn)目前趨勢
第一,攻擊類型更加多樣與復(fù)雜��。
容量耗盡型攻擊:例如TCP耗盡�����,應(yīng)用層攻擊,以及結(jié)合多種策略與手段的多向量攻擊��,這些攻擊現(xiàn)在往往針對(duì)的是服務(wù)器或網(wǎng)站的薄弱環(huán)節(jié)���,例如針對(duì)下載�、表單等區(qū)域����,攻擊流量與用戶流量混雜在一起,因此企業(yè)也更難區(qū)分并緩解惡意流量��。僅在國內(nèi)的攻擊�,上T的峰值已不罕見。這意味著攻擊者采取更少次數(shù)�,但更復(fù)雜更智能的攻擊就可以給企業(yè)帶來重創(chuàng)。
第二����,在近幾年的報(bào)告中可以看出,新型的攻擊手法如放大反射攻擊開始逐漸活躍�。
反射放大攻擊是一種具有巨大攻擊力的DDoS攻擊方式。攻擊者只需要付出少量的代價(jià)���, 即可對(duì)需要攻擊的目標(biāo)產(chǎn)生巨大的流量��,對(duì)網(wǎng)絡(luò)帶寬資源(網(wǎng)絡(luò)層)���、連接資源(傳輸層) 和計(jì)算機(jī)資源(應(yīng)用層)造成巨大的壓力��。
2016年美國Dyn公司的DNS服務(wù)器遭受DDoS攻擊����,導(dǎo)致美國大范圍斷網(wǎng)�����。事后的攻擊流量分析顯示�,DNS反射放大攻擊與SYN洪水攻擊是作為本次造成美國斷網(wǎng)的拒絕服務(wù)攻擊的主力����。由于反射放大攻擊危害大��,成本低�����,溯源難,被黑色產(chǎn)業(yè)從業(yè)者所喜愛�。
除此之外還有攻擊系統(tǒng)資源和攻擊應(yīng)用資源的攻擊方式�,F(xiàn)在越來越多的攻擊者���,喜歡發(fā)起混合攻擊�,上下開工�,打得受害企業(yè)措手不及,這樣使傳統(tǒng)的抗DDoS攻擊思想開始變得越來越無用��。
如何正確防御DDoS攻擊��?
傳統(tǒng)的防御思想都是單一的�,如增加帶寬,買ADS設(shè)備���,買DDoS防火墻��,用云端和本地代替等等�����。有一些方法確實(shí)可以緩解�����,但是對(duì)企業(yè)來說��,在攻擊越來越復(fù)雜的當(dāng)下做好全面防護(hù)難度很大��。
這時(shí)候�����,企業(yè)往往需要第三方的抗DDoS服務(wù)商來提供安全支持�。作為企業(yè)在選購抗DDoS業(yè)務(wù)時(shí),必須要考察以下幾點(diǎn):
有多少節(jié)點(diǎn)����?
機(jī)房最大能抗多少流量峰值?
機(jī)房數(shù)量以及穩(wěn)定性��?
支持測試么����?
價(jià)格是否合適����?
是否可以實(shí)時(shí)展示,并有效通知���?
遭受攻擊或者不穩(wěn)定影響業(yè)務(wù)時(shí)��,是否可以支持排查問題�����?
DDoS防御需要選擇專業(yè)安全服務(wù)商
防御吧已為超過90萬的網(wǎng)站提供了安全支持�,過程中累計(jì)了海量的DDoS防御經(jīng)驗(yàn)。在超4T防護(hù)能力的加持下��,還配合有7*24小時(shí)的專家服務(wù)����,海外CN2專線,以及全業(yè)務(wù)支持等能力�,可以根據(jù)不同業(yè)務(wù)的特點(diǎn),以不同的安全策略�����,努力幫助企業(yè)用戶做到不再懼怕DDoS攻擊���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
