分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機聯(lián)合起來作為攻擊平臺�,對一個或多個目標發(fā)動 DDoS 攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力����。
通常�,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個“肉雞”上�,代理程序收到指令時就發(fā)動攻擊�����。
隨著網(wǎng)絡(luò)技術(shù)發(fā)展���,DDOS 攻擊也在不斷進化�,攻擊成本越來越低�,而攻擊力度卻成倍加大,使得 DDOS 更加難以防范����。比如反射型 DDoS 攻擊就是相對高階的攻擊方式。攻擊者并不直接攻擊目標服務(wù) IP���,而是通過偽造被攻擊者的 IP 向全球特殊的服務(wù)器發(fā)請求報文�,這些特殊的服務(wù)器會將數(shù)倍于請求報文的數(shù)據(jù)包發(fā)送到那個被攻擊的 IP(目標服務(wù) IP)��。
DDOS 攻擊讓人望而生畏���,它可以直接導(dǎo)致網(wǎng)站宕機����、服務(wù)器癱瘓,對網(wǎng)站乃至企業(yè)造成嚴重損失�。而且 DDOS 很難防范,可以說目前沒有根治之法��,只能盡量提升自身“抗壓能力”來緩解攻擊��,比如購買高防服務(wù)�����。
DDoS 攻擊簡介
分布式拒絕服務(wù)攻擊(DDoS 攻擊)是一種針對目標系統(tǒng)的惡意網(wǎng)絡(luò)攻擊行為�,DDoS 攻擊經(jīng)常會導(dǎo)致被攻擊者的業(yè)務(wù)無法正常訪問,也就是所謂的拒絕服務(wù)���。
常見的 DDoS 攻擊包括以下幾類:
網(wǎng)絡(luò)層攻擊:比較典型的攻擊類型是 UDP 反射攻擊�,例如:NTP Flood 攻擊��,這類攻擊主要利用大流量擁塞被攻擊者的網(wǎng)絡(luò)帶寬�,導(dǎo)致被攻擊者的業(yè)務(wù)無法正常響應(yīng)客戶訪問。
傳輸層攻擊:比較典型的攻擊類型包括 SYN Flood 攻擊���、連接數(shù)攻擊等���,這類攻擊通過占用服務(wù)器的連接池資源從而達到拒絕服務(wù)的目的���。
會話層攻擊:比較典型的攻擊類型是 SSL 連接攻擊,這類攻擊占用服務(wù)器的 SSL 會話資源從而達到拒絕服務(wù)的目的����。
應(yīng)用層攻擊:比較典型的攻擊類型包括 DNS flood 攻擊�����、HTTP flood 攻擊�����、游戲假人攻擊等�,這類攻擊占用服務(wù)器的應(yīng)用處理資源極大的消耗服務(wù)器處理性能從而達到拒絕服務(wù)的目的。
DDoS 攻擊緩解最佳實踐
建議阿里云用戶從以下幾個方面著手緩解 DDoS 攻擊的威脅:
縮小暴露面�����,隔離資源和不相關(guān)的業(yè)務(wù)���,降低被攻擊的風險���。
優(yōu)化業(yè)務(wù)架構(gòu)�,利用公共云的特性設(shè)計彈性伸縮和災(zāi)備切換的系統(tǒng)�����。
服務(wù)器安全加固�,提升服務(wù)器自身的連接數(shù)等性能。
做好業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)�����。
DDOS 攻擊應(yīng)對策略
這里我們分享一些在一定程度范圍內(nèi)�,能夠應(yīng)對緩解 DDOS 攻擊的策略方法,以供大家借鑒�����。
1.定期檢查服務(wù)器漏洞
定期檢查服務(wù)器軟件安全漏洞����,是確保服務(wù)器安全的最基本措施。無論是操作系統(tǒng)(Windows 或 linux)�����,還是網(wǎng)站常用應(yīng)用軟件(mysql、Apache����、nginx、FTP 等)��,服務(wù)器運維人員要特別關(guān)注這些軟件的最新漏洞動態(tài)�,出現(xiàn)高危漏洞要及時打補丁修補。
2.隱藏服務(wù)器真實 IP
通過 CDN 節(jié)點中轉(zhuǎn)加速服務(wù)�����,可以有效的隱藏網(wǎng)站服務(wù)器的真實 IP 地址�。CDN 服務(wù)根據(jù)網(wǎng)站具體情況進行選擇���,對于普通的中小企業(yè)站點或個人站點可以先使用免費的 CDN 服務(wù)�����,比如百度云加速����、七牛 CDN 等,待網(wǎng)站流量提升了��,需求高了之后���,再考慮付費的 CDN 服務(wù)���。
其次,防止服務(wù)器對外傳送信息泄漏 IP 地址��,最常見的情況是���,服務(wù)器不要使用發(fā)送郵件功能�,因為郵件頭會泄漏服務(wù)器的 IP 地址�����。如果非要發(fā)送郵件���,可以通過第三方代理(例如 sendcloud)發(fā)送��,這樣對外顯示的 IP 是代理的 IP 地址�。
3.關(guān)閉不必要的服務(wù)或端口
這也是服務(wù)器運維人員最常用的做法����。在服務(wù)器防火墻中����,只開啟使用的端口�����,比如網(wǎng)站 web 服務(wù)的 80 端口�、數(shù)據(jù)庫的 3306 端口、SSH 服務(wù)的 22 端口等�����。關(guān)閉不必要的服務(wù)或端口�,在路由器上過濾假 IP�。
4.購買高防提高承受能力
該措施是通過購買高防的盾機,提高服務(wù)器的帶寬等資源���,來提升自身的承受攻擊能力����。一些知名 IDC 服務(wù)商都有相應(yīng)的服務(wù)提供����,比如阿里云���、騰訊云等。但該方案成本預(yù)算較高��,對于普通中小企業(yè)甚至個人站長并不合適��,且不被攻擊時造成服務(wù)器資源閑置����,所以這里不過多闡述。
5.限制 SYN/ICMP 流量
用戶應(yīng)在路由器上配置 SYN/ICMP 的最大流量來限制 SYN/ICMP 封包所能占有的最高頻寬�����,這樣�����,當出現(xiàn)大量的超過所限定的 SYN/ICMP 流量時����,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵�����。早期通過限制 SYN/ICMP 流量是最好的防范 DOS 的方法,雖然目前該方法對于 DdoS 效果不太明顯了�,不過仍然能夠起到一定的作用。
6.網(wǎng)站請求 IP 過濾
除了服務(wù)器之外��,網(wǎng)站程序本身安全性能也需要提升��。系統(tǒng)安全機制里的過濾功能��,通過限制單位時間內(nèi)的 POST 請求�����、404 頁面等訪問操作�����,來過濾掉次數(shù)過多的異常行為��。雖然這對 DDOS 攻擊沒有明顯的改善效果�,但也在一定程度上減輕小帶寬的惡意攻擊�����。
2.3 部署 DNS 智能解析
通過智能解析的方式優(yōu)化 DNS 解析,可以有效避免 DNS 流量攻擊產(chǎn)生的風險�����。同時���,建議您將業(yè)務(wù)托管至多家 DNS 服務(wù)商����。
屏蔽未經(jīng)請求發(fā)送的 DNS 響應(yīng)信息
丟棄快速重傳數(shù)據(jù)包
啟用 TTL
丟棄未知來源的 DNS 查詢請求和響應(yīng)數(shù)據(jù)
丟棄未經(jīng)請求或突發(fā)的 DNS 請求
啟動 DNS 客戶端驗證
對響應(yīng)信息進行緩存處理
使用 ACL 的權(quán)限
利用 ACL�,BCP38 及 IP 信譽功能
2.4 提供余量帶寬
通過服務(wù)器性能測試,評估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)�。在購買帶寬時確保有一定的余量帶寬,可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況�。
3. 服務(wù)安全加固
對服務(wù)器上的操作系統(tǒng)、軟件服務(wù)進行安全加固����,減少可被攻擊的點,增大攻擊方的攻擊成本:
確保服務(wù)器的系統(tǒng)文件是最新的版本����,并及時更新系統(tǒng)補丁。
對所有服務(wù)器主機進行檢查,清楚訪問者的來源�。
過濾不必要的服務(wù)和端口。例如�,對于 WWW 服務(wù)器,只開放 80 端口�����,將其他所有端口關(guān)閉����,或在防火墻上設(shè)置阻止策略。
限制同時打開的 SYN 半連接數(shù)目�����,縮短 SYN 半連接的 timeout 時間��,限制 SYN/ICMP 流量�����。
仔細檢查網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)的日志���。一旦出現(xiàn)漏洞或是時間變更,則說明服務(wù)器可能遭到了攻擊���。
限制在防火墻外進行網(wǎng)絡(luò)文件共享��。降低黑客截取系統(tǒng)文件的機會��,若黑客以特洛伊木馬替換它�,文件傳輸功能將會陷入癱瘓。
充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源�����。在配置路由器時應(yīng)考慮針對流控�、包過濾、半連接超時�����、垃圾包丟棄��、來源偽造的數(shù)據(jù)包丟棄�����、SYN 閥值��、禁用 ICMP 和 UDP 廣播的策略配置。
通過 iptable 之類的軟件防火墻限制疑似惡意 IP 的 TCP 新建連接�,限制疑似惡意 IP 的連接、傳輸速率���。
4. 業(yè)務(wù)監(jiān)控和應(yīng)急響應(yīng)
4.1 關(guān)注基礎(chǔ) DDoS 防護監(jiān)控
當您的業(yè)務(wù)遭受 DDoS 攻擊時�����,基礎(chǔ) DDoS 默認會通過短信和郵件方式發(fā)出告警信息����,針對大流量攻擊基礎(chǔ) DDoS 防護也支持電話報警���,建議您在接受到告警的第一時間進行應(yīng)急處理����。
5.1 Web 應(yīng)用防火墻(WAF)
針對網(wǎng)站類應(yīng)用�����,例如常見的 http Flood(CC 攻擊)攻擊���,可以使用 WAF 可以提供針對連接層攻擊�����、會話層攻擊和應(yīng)用層攻擊進行有效防御��。建議使用 360 磐云 Web 應(yīng)用防火墻服務(wù)����。
5.2 DDoS 防護包
5.3 DDoS 高級防護
針對大流量 DDoS 攻擊��,建議使用 360 磐云高防 IP 服務(wù)���。
應(yīng)當避免的事項
DDoS 攻擊是業(yè)內(nèi)公認的行業(yè)公敵����,DDoS 攻擊不僅影響被攻擊者�,同時也會對服務(wù)商網(wǎng)絡(luò)的穩(wěn)定性造成影響,從而對處于同一網(wǎng)絡(luò)下的其他用戶業(yè)務(wù)也會造成損失��。目前而言�����,DDOS 攻擊并沒有最好的根治之法�,做不到徹底防御���,只能采取各種手段在一定程度上減緩攻擊傷害。所以平時服務(wù)器的運維工作還是要做好基本的保障���,并借鑒本文分享的方案���,將 DDOS 攻擊帶來的損失盡量降低到最小。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
