面對日益復雜的DDoS攻擊環(huán)境���,現(xiàn)階段CDN扮演的角色準確的說更像是一塊安全防御盾牌!
首先關于什么是DDoS攻擊���?
DDoS 里面的 DoS 是 denial of service(停止服務)的縮寫�����,表示這種攻擊的目的�,就是使得服務中斷�����。最前面的那個 D 是 distributed (分布式)��,表示攻擊不是來自一個地方�����,而是來自四面八方,因此更難防����。你關了前門,他從后門進來��;你關了后門��,他從窗口跳進來���。
DDoS攻擊是一種最常見的網(wǎng)絡攻擊�,它是通過TCP/IP協(xié)議的三次握手進行攻擊的���。是通過偽造大量的源IP地址�����,然后分別向服務器端發(fā)送大量的SYN包�,這個時候服務器端會返回SYN/ACK 包�,而偽造的IP端不會應答,服務器端沒有收到偽造的IP的回應���,會進行重試機制���,3~5次并等待一個SYN的時間(30s-2min)����,如果超時則丟棄�����。
這其實就是 DDoS 攻擊�����,在短時間內(nèi)發(fā)起大量請求���,耗盡服務器的資源,無法響應正常的訪問�,造成網(wǎng)站實質(zhì)下線。
CDN 面對DDoS能夠做什么���?
關于CDN各位應該都不陌生�����,CDN擁有最強大的寬帶��,單個節(jié)點承受能力強�����,能夠有效的針對網(wǎng)站進行突發(fā)情況流量管理�,預防存在流量以及數(shù)量增加等相關狀況出現(xiàn)。CDN已經(jīng)從過去的網(wǎng)頁緩存��、網(wǎng)頁動態(tài)加速的功能到如今兼具著保護網(wǎng)站不被攻擊的使命和責任�。
具體而言,CDN在相關節(jié)點中成功建立動態(tài)加速機制以及智能沉于等機制�����,這種機制能夠幫助網(wǎng)站流量訪問分配到每一個節(jié)點中��,智能的進行流量分配機制�。一旦遇到CDN存在被DDoS攻擊的情況,CDN整個系統(tǒng)就能夠?qū)⒈还舻牧髁糠稚㈤_�,節(jié)省了站點服務器的壓力以及節(jié)點壓力。同時���,CDN還能夠增強網(wǎng)站被黑客給攻擊的難度����,從而實現(xiàn)降低DDoS攻擊對網(wǎng)站帶來的危害。
其實一般情況下CDN是緩解DDoS的攻擊��,一般CDN會在各個省市分配一些IP地址��,再通過智能DNS的方式在每個省市解析出最近的IP地址����。攻擊者一看你的網(wǎng)站IP地址這么多�����,通常便會放棄攻擊��。
案例分享:參閱自:GitHub遭受有史以來最嚴重DDoS攻擊
北京時間2018年3月1日1點15分�,知名代碼托管網(wǎng)站GitHub遭遇了有史以來最嚴重的DDoS網(wǎng)絡攻擊,峰值流量達到了1.35Tbps��,最后是依靠某CDN服務商防御化解了此次危機�。
不過,想要徹底解決或者避免DDoS的攻擊目前看并不太現(xiàn)實�。
無論是一般CDN作為防御方案的選擇,還是其他防御措施的補強����,對于90%的攻擊是可以安全保障的�����。但是�����,隨著越來越復雜的新型攻擊方式��,企業(yè)也需要根據(jù)自身的行業(yè)情況和環(huán)境做好自身的安全部署和增強�,尤其是DDoS攻擊的重災區(qū):游戲行業(yè)�。
一般會有幾種方式:
方法1:
路由器、交換機��、硬件防火墻等設備采用一些知名度高�����、口碑好��、質(zhì)量高的產(chǎn)品�����,假如攻擊發(fā)生的時候用流量限制來對抗這些攻擊是可行的方法。另外使用Inexpress�����、Express��、Forwarding等工具來過濾不必要的服務和端口��,即在路由器上過濾假IP
方法二
在應用程序中對每個“客戶端”做一個請求頻率的限制����,或者從網(wǎng)站的代碼上實行優(yōu)化。將數(shù)據(jù)庫壓力轉(zhuǎn)到內(nèi)存中�,及時的釋放資源���。顯示每個IP地址的請求頻率��,根據(jù)IP 地址和 User Agent 字段����,進行過濾���。
方法三
部署CDN,CDN可以把網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個服務器�,可以進行帶寬擴容,增大訪問量��,提高承受攻擊的能力��。
為何DDoS難杜絕����?
DDoS攻擊最大的特點,是通過集中控制海量「肉雞」��,同時向目標發(fā)起攻擊��。DDoS攻擊實際上就就是攻擊者在挑戰(zhàn)網(wǎng)站的帶寬和資源��。這種攻擊并不是利用網(wǎng)站自身的特定漏洞去完成�����,而是利用TCP/IP協(xié)議的天生缺陷��。只要互聯(lián)網(wǎng)用的還是TCP協(xié)議��,那么DDoS攻擊就不會消亡�����。
DDoS從攻擊指令發(fā)出端����,到實際攻擊的服務器,中間可能經(jīng)過了數(shù)道跳轉(zhuǎn)���,再加上IP偽造等技術�����,查到攻擊源頭非常困難���。想做到溯源追兇,需要投入極高的成本�,并且需要經(jīng)驗豐富的攻防專家或團隊來完成,對于絕大多數(shù)企業(yè)都無能為力也不會選擇這樣做�。
白菜價成本�����,黃金價回報����,DDoS已經(jīng)形成了一條成熟的灰色產(chǎn)業(yè)鏈
DDoS伴隨著中國互聯(lián)網(wǎng)發(fā)展的也在不斷的進行著自我的進化和升級�����,這其中就包括了這條黑產(chǎn)的上下游的不斷完善��,已然呈現(xiàn)出智能化����、平臺化�����、產(chǎn)業(yè)化的特征���,分工鮮明����、成本廉價����、利益巨大。
以往如果想要DDoS發(fā)起攻擊�,攻擊者需要具備一定的黑客技能,如今伴隨著智能化攻擊平臺的出現(xiàn),攻擊方并不需要多么高深的專業(yè)黑客知識��,只需要輕點鼠標即可發(fā)起攻擊�����,而且此類攻擊占比近7成��。此外���,隨著木馬等的惡意泛濫使得「肉雞」的數(shù)量呈爆發(fā)式增長���,黑客發(fā)起DDoS攻擊的成本實際上隨著時間的推移是越來越低。
此外�,由于個人和企業(yè)的帶寬使用規(guī)模的逐年增加,智能家居和物聯(lián)網(wǎng)設備的大量使用�����,薄弱的安全防護能力給了攻擊者更多可利用的機會���,更容易形成大規(guī)模的攻擊設備集群�����。
簡單來說�����,對于企業(yè)而言��,需要結(jié)合自身的環(huán)境和情況��,做好DDOS的防御工作�����,把損失和風險降到最���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
