DDoS攻擊指借助于客戶 / 服務(wù)器技術(shù)���,將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)�,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DDoS 攻擊���,從而成倍地提高拒絕服務(wù)攻擊的威力�����。
通常��,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個(gè) “肉雞” 上���,代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。
如何有效防御服務(wù)器DDOS 攻擊的方法:
常見的 DDoS 攻擊種類:
網(wǎng)絡(luò)層攻擊:比較典型的攻擊類型是 udp 反射攻擊��,例如:NTP Flood 攻擊���,這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬��,導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問��。
傳輸層攻擊:比較典型的攻擊類型包括 SYN Flood 攻擊���、連接數(shù)攻擊等,這類攻擊通過占用服務(wù)器的連接池資源從而達(dá)到拒絕服務(wù)的目的����。
會(huì)話層攻擊:比較典型的攻擊類型是 ssl連續(xù)攻擊����,這類攻擊占用服務(wù)器的 SSL 會(huì)話資源從而達(dá)到拒絕服務(wù)的目的����。
應(yīng)用層攻擊:比較典型的攻擊類型包括 DNS flood 攻擊、HTTP flood 攻擊�、游戲假人攻擊等,這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達(dá)到拒絕服務(wù)的目的�����。
DDOS 攻擊應(yīng)對(duì)策略�����。
這里我們分享一些在一定程度范圍內(nèi)�����,能夠應(yīng)對(duì)緩解 DDOS 攻擊的策略方法���,以供大家借鑒���。
1.定期檢查服務(wù)器漏洞
定期檢查服務(wù)器軟件安全漏洞��,是確保服務(wù)器安全的最基本措施��。無論是操作系統(tǒng)(Windows 或 Linux)�,還是網(wǎng)站常用應(yīng)用軟件(mysql��、Apache�����、nginx�����、FTP 等)�,服務(wù)器運(yùn)維人員要特別關(guān)注這些軟件的最新漏洞動(dòng)態(tài)�����,出現(xiàn)高危漏洞要及時(shí)打補(bǔ)丁修補(bǔ)����。
2.隱藏服務(wù)器真實(shí)IP
通過 CDN 節(jié)點(diǎn)中轉(zhuǎn)加速服務(wù),可以有效的隱藏網(wǎng)站服務(wù)器的真實(shí) IP 地址。CDN 服務(wù)根據(jù)網(wǎng)站具體情況進(jìn)行選擇��,對(duì)于普通的中小企業(yè)站點(diǎn)或個(gè)人站點(diǎn)可以先使用免費(fèi)的 CDN 服務(wù)���,比如百度云加速���、七牛 CDN 等,待網(wǎng)站流量提升了�����,需求高了之后�,再考慮付費(fèi)的 CDN 服務(wù)。
其次����,防止服務(wù)器對(duì)外傳送信息泄漏 IP 地址,最常見的情況是�,服務(wù)器不要使用發(fā)送郵件功能,因?yàn)猷]件頭會(huì)泄漏服務(wù)器的 IP 地址�。如果非要發(fā)送郵件,可以通過第三方代理(例如 sendcloud)發(fā)送��,這樣對(duì)外顯示的 IP 是代理的 IP 地址����。
3.關(guān)閉不必要的服務(wù)或端口
這也是服務(wù)器運(yùn)維人員最常用的做法��。在服務(wù)器防火墻中�,只開啟使用的端口�,比如網(wǎng)站 web 服務(wù)的 80 端口、數(shù)據(jù)庫的 3306 端口�、SSH 服務(wù)的 22 端口等。關(guān)閉不必要的服務(wù)或端口��,在路由器上過濾假 IP�����。
4.購買高防提高承受能力
該措施是通過購買高防的盾機(jī)��,提高服務(wù)器的帶寬等資源���,來提升自身的承受攻擊能力。一些知名 IDC 服務(wù)商都有相應(yīng)的服務(wù)提供���,比如阿里云��、騰訊云�、百度云等。但該方案成本預(yù)算較高�����,對(duì)于普通中小企業(yè)甚至個(gè)人站長并不合適��,且不被攻擊時(shí)造成服務(wù)器資源閑置��,所以這里不過多闡述����。
5.限制 SYN/ICMP 流量
用戶應(yīng)在路由器上配置 SYN/ICMP 的最大流量來限制 SYN/ICMP 封包所能占有的最高頻寬,這樣����,當(dāng)出現(xiàn)大量的超過所限定的 SYN/ICMP 流量時(shí),說明不是正常的網(wǎng)絡(luò)訪問��,而是有黑客入侵��。早期通過限制 SYN/ICMP 流量是最好的防范 DOS 的方法�,雖然目前該方法對(duì)于 DdoS 效果不太明顯了,不過仍然能夠起到一定的作用��。
6.網(wǎng)站請(qǐng)求 IP 過濾
除了服務(wù)器之外��,網(wǎng)站程序本身安全性能也需要提升。以小編自己的個(gè)人博客為例��,使用 cms 做的�����。系統(tǒng)安全機(jī)制里的過濾功能�����,通過限制單位時(shí)間內(nèi)的 POST 請(qǐng)求����、404 頁面等訪問操作,來過濾掉次數(shù)過多的異常行為����。雖然這對(duì) DDOS 攻擊沒有明顯的改善效果,但也在一定程度上減輕小帶寬的惡意攻擊��。
7.提供余量帶寬
通過服務(wù)器性能測試���,評(píng)估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請(qǐng)求數(shù)。在購買帶寬時(shí)確保有一定的余量帶寬��,可以避免遭受攻擊時(shí)帶寬大于正常使用量而影響正常用戶的情況。
8.服務(wù)器安全加固
對(duì)服務(wù)器上的操作系統(tǒng)�、軟件服務(wù)進(jìn)行安全加固,減少可被攻擊的點(diǎn)�,增大攻擊方的攻擊成本:
確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時(shí)更新系統(tǒng)補(bǔ)丁����。
對(duì)所有服務(wù)器主機(jī)進(jìn)行檢查,清楚訪問者的來源����。
過濾不必要的服務(wù)和端口。例如����,對(duì)于 WWW 服務(wù)器,只開放 80 端口����,將其他所有端口關(guān)閉,或在防火墻上設(shè)置阻止策略����。
限制同時(shí)打開的 SYN 半連接數(shù)目,縮短 SYN 半連接的 timeout 時(shí)間�����,限制 SYN/ICMP 流量。
仔細(xì)檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志���。一旦出現(xiàn)漏洞或是時(shí)間變更���,則說明服務(wù)器可能遭到了攻擊。
限制在防火墻外進(jìn)行網(wǎng)絡(luò)文件共享�����。降低黑客截取系統(tǒng)文件的機(jī)會(huì)��,若黑客以特洛伊木馬替換它�����,文件傳輸功能將會(huì)陷入癱瘓�。
充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源。在配置路由器時(shí)應(yīng)考慮針對(duì)流控��、包過濾����、半連接超時(shí)�����、垃圾包丟棄、來源偽造的數(shù)據(jù)包丟棄����、SYN 閥值、禁用 ICMP 和 UDP 廣播的策略配置��。
通過 iptable 之類的軟件防火墻限制疑似惡意 IP 的 TCP 新建連接����,限制疑似惡意 IP 的連接、傳輸速率����。
總結(jié)
目前而言,DDOS 攻擊并沒有最好的根治之法�,做不到徹底防御,只能采取各種手段在一定程度上減緩攻擊傷害�。所以平時(shí)服務(wù)器的運(yùn)維工作還是要做好基本的保障,并借鑒本文分享的方案�����,將 DDOS 攻擊帶來的損失盡量降低到最小��!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
