DDOS攻擊讓人望而生畏,它可以直接導(dǎo)致網(wǎng)站宕機(jī)����、服務(wù)器癱瘓,對網(wǎng)站乃至企業(yè)造成嚴(yán)重?fù)p失��。而且DDOS很難防范�,可以說目前沒有根治之法�,只能盡量提升自身“抗壓能力”來緩解攻擊��,比如購買高防服務(wù)�。
面對DDOS攻擊�����,應(yīng)該從網(wǎng)絡(luò)設(shè)施、防御方案��、預(yù)防手段三個方面進(jìn)行抵御
一.網(wǎng)絡(luò)設(shè)備設(shè)施
用足夠的機(jī)器����、容量去承受攻擊����,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對策略,說到底攻防也是雙方資源的比拼�。
實際上��,攻擊者會不斷訪問用戶���、奪取用戶資源�,我們自己的能量也在逐漸耗失�����。如果完全的硬拼設(shè)施��,投入資金也不小。
網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)����,所以需要根據(jù)自身情況做出平衡的選擇。
1. 擴(kuò)充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力����,國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M�����,知名企業(yè)帶寬能超過1G���,超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站�,數(shù)量屈指可數(shù)。
DDoS攻擊者可以通過控制一些服務(wù)器�����、個人電腦等成為肉雞���。如果控制1000臺機(jī)器,每臺帶寬為10M�����,那么攻擊者就有了10G的流量�����。當(dāng)它們同時向某個網(wǎng)站發(fā)動攻擊,帶寬瞬間就被占滿了�����。
增加帶寬硬防護(hù)是理論最優(yōu)解����,只要帶寬大于攻擊流量就不怕了����。但帶寬成本也是難以承受之痛�����,所以很少有人愿意花高價買大帶寬做防御��。
2. 使用硬件防火墻
針對DDoS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻通過對異常流量的清洗過濾�����,可對抗SYN/ACK攻擊�、TCP全連接攻擊�����、刷腳本攻擊等流量型DDoS攻擊�。
如果網(wǎng)站飽受流量攻擊的困擾���,可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(如:200G的硬防�,但攻擊流量有300G),硬件防火墻同樣抵擋不住�����。部分硬件防火墻基于包過濾型防火墻修改為主�����,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包�,若是DDoS攻擊上升到應(yīng)用層����,防御能力就比較弱了�����。
3. 選用高性能設(shè)備
除了防火墻,服務(wù)器�、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上�����,若是設(shè)備性能成為瓶頸�,即使帶寬充足也無能為力����。在有網(wǎng)絡(luò)帶寬保證的前提下���,應(yīng)該盡量提升硬件配置�����。
二�、有效的對抗DDOS思維及方案
通過架構(gòu)布局���、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力來分?jǐn)偩植窟^載的流量,通過接入第三方服務(wù)識別并攔截惡意流量等對抗效果較好(相對比與提升帶寬和使用硬件防火墻�����,當(dāng)然組合效果更佳)�。
1. 負(fù)載均衡
普通級別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個鏈接請求��,網(wǎng)絡(luò)處理能力很受限制�����。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上���,它提供了一種廉價有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量�、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性����,對DDoS流量攻擊和CC攻擊都很見效����。在加上負(fù)載均衡方案后�����,鏈接請求被均衡分配到各個服務(wù)器上����,減少單個服務(wù)器的負(fù)擔(dān)���,整個服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請求,用戶訪問速度也會加快�。
2. CDN流量清洗
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)��,依靠部署在各地的邊緣服務(wù)器,通過中心平臺的分發(fā)�����、調(diào)度等功能模塊�,使用戶就近獲取所需內(nèi)容���,降低網(wǎng)絡(luò)擁塞�����,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)�。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智�����,多節(jié)點分擔(dān)滲透流量��,目前大部分的CDN節(jié)點都有200G的流量防護(hù)功能�,再加上硬防的防護(hù)���,可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了�。
3. 分布式集群防御分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址��,并且每個節(jié)點能承受不低于10G的DDoS攻擊����,如一個節(jié)點受攻擊無法提供服務(wù)�����,系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點�����,使攻擊源成為癱瘓狀態(tài)��,從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策����。
三.預(yù)防為主
DDoS的發(fā)生可能永遠(yuǎn)都無法預(yù)知���,而一來就兇猛如洪水決堤,因此預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要���。通過日常習(xí)慣性的運(yùn)維操作讓系統(tǒng)健壯穩(wěn)固��,沒有漏洞可鉆��,降低脆弱服務(wù)被攻陷的可能,將攻擊帶來的損失降低到最小���。
1. 篩查系統(tǒng)漏洞
及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞,及時安裝系統(tǒng)補(bǔ)丁���,對重要信息(如系統(tǒng)配置信息)建立和完善備份機(jī)制���,對一些特權(quán)賬號(如管理員賬號)的密碼謹(jǐn)慎設(shè)置���,通過一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小�����。
2. 系統(tǒng)資源優(yōu)化
合理優(yōu)化系統(tǒng)���,避免系統(tǒng)資源的浪費(fèi),盡可能減少計算機(jī)執(zhí)行少的進(jìn)程�����,更改工作模式�,刪除不必要的中斷讓機(jī)器運(yùn)行更有效�����,優(yōu)化文件位置使數(shù)據(jù)讀寫更快�,空出更多的系統(tǒng)資源供用戶支配��,以及減少不必要的系統(tǒng)加載項及自啟動項���,提高web服務(wù)器的負(fù)載能力。
3. 過濾不必要的服務(wù)和端口
禁止未用的服務(wù)�����,將開放端口的數(shù)量最小化十分重要�����。端口過濾模塊通過開放或關(guān)閉一些端口����,允許用戶使用或禁止使用部分服務(wù)���,對數(shù)據(jù)包進(jìn)行過濾��,分析端口,判斷是否為允許數(shù)據(jù)通信的端口�����,然后做相應(yīng)的處理�。
4. 限制特定的流量
檢查訪問來源并做適當(dāng)?shù)南拗�����,以防止異常���、惡意的流量來襲��,限制特定的流量����,主動保護(hù)網(wǎng)站安全��。
目前����,DDOS攻擊并沒有最好的根治之法�,做不到徹底防御,只能采取各種手段在一定程度上減緩攻擊傷害����。所以平時服務(wù)器的運(yùn)維工作還是要做好基本的保障�,并借鑒上述方案,將DDOS攻擊帶來的損失盡量降低到最小�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
