在安全圈里�,DDoS可謂家喻戶曉。從DDoS誕生開始����,無數(shù)網(wǎng)絡(luò)安全工程師就對它深惡痛絕,像Google��、亞馬遜等技術(shù)實力強勁的巨頭公司�,也無法避免遭受DDoS攻擊。
可以這么說���,DDoS是目前最強大、最難防御的攻擊之一�����,屬于世界級難題����,沒有解決辦法,只能緩解��。
我們不禁好奇�����,為什么DDoS攻擊是無解的?是技術(shù)水平不夠,還是其他什么原因?
無解的DDoS
DDoS的原理其實不復(fù)雜��,就是利用大量肉雞���,仿照真實用戶行為��,使目標(biāo)服務(wù)器資源消耗殆盡����,最終無法為用戶提供服務(wù)�����。
就好像一家火鍋店來了一群地痞流氓�,光占座不叫餐,導(dǎo)致正常顧客沒座位���,點不了餐��,火鍋店無法正常開店��。
我們舉一個例子�,就可以了解為什么DDoS無法解決。
CC攻擊是DDoS的一種類型�����,攻擊者會借助代理服務(wù)器生成受害主機的合法請求�。
相信大家都有過這樣的經(jīng)歷,當(dāng)某一個網(wǎng)站或者app在做秒殺�����、限時活動��、搶購活動時�,訪問量突增,導(dǎo)致頁面打開速度變慢�,如果人數(shù)超出服務(wù)器負載�,頁面可能就完全打不開了。
攻擊者發(fā)動CC攻擊的結(jié)果��,與上面的例子一模一樣���。對于防御方來說����,很難分辨誰是真實用戶,誰是攻擊者的肉雞����,敵人是誰都不知道,更別說發(fā)起進攻了��。
成本是硬傷
雖然無法解決DDoS攻擊�,但可以采用一些技術(shù)手段,來緩解或者提高攻擊的門檻�����。
防御方的成本主要來自購買游戲盾�����、高防IP等云防護產(chǎn)品�、采用的技術(shù)手段支出的人工成本、購買硬件設(shè)備的成本等等����。
同樣,攻擊者發(fā)動DDoS攻擊�,也需要付出相應(yīng)的成本,比如時間成本����、購買肉雞的成本�����、購買0day及其他漏洞的成本����、編寫或購買DDoS程序的成本�、甚至還可能是委托第三方發(fā)動DDoS所需要的費用等等。
防御者的防御做的越完善����,所付出的成本也越高。同理�,攻擊者想發(fā)動更大規(guī)模的攻擊,成本也越高�。
如果攻擊者想發(fā)動攻擊的成本,高于攻擊帶來的收益�����,那么DDoS就不會發(fā)�����。反之�,如果成本合適,那么攻擊者就會發(fā)動攻擊�����,享受攻擊帶來的收益����。
緩解DDoS
DDoS攻擊雖然無解,但卻可以采用多種手段緩解和預(yù)防��,或打消攻擊者發(fā)動DDoS的意圖�,或使攻擊者的預(yù)計收益下降“入不敷出�!
常用的手段有以下幾種:
(1) 使用高性能網(wǎng)絡(luò)設(shè)備
確保路由器、交換機����、硬件防火墻等網(wǎng)絡(luò)設(shè)備的性能,當(dāng)DDoS發(fā)生時�����,有足夠的性能�����、容量去對抗它。
(2) 定期排查服務(wù)器系統(tǒng)漏洞
采用最新的系統(tǒng)���,及時打上安全補丁���,并在刪除未使用的服務(wù),關(guān)閉未使用的端口����,降低黑客利用漏洞發(fā)動DDoS的風(fēng)險。
(3) 充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬的大小����,直接決定了抗受DDoS的能力,不過一般來說���,其他技術(shù)手段和方式�,比增加帶寬更有效���,成本也更低����。
(4) 接入游戲盾
T盾����,快速識別攻擊源,從容應(yīng)對超大規(guī)模的DDoS����、CC攻擊。 自動感知并無縫切換可用節(jié)點�,0延遲0誤封,用戶無感體驗����。自動識別客戶端網(wǎng)絡(luò)質(zhì)量,確保用戶連接最快節(jié)點��。SDK秒級調(diào)度��,節(jié)點覆蓋全國�,為您提供優(yōu)質(zhì)的網(wǎng)絡(luò)體驗。SDK自身高強度加密�����,游戲安全網(wǎng)關(guān)配合SDK加密功能����,通信加密傳輸�,讓模擬用戶行為的小流量攻擊也無法到達客戶端���。獨家立體多層數(shù)據(jù)包轉(zhuǎn)發(fā)機制���,隱藏源機IP和端口,漏洞掃描和攻擊無從下手�����,保障服務(wù)器穩(wěn)定運行�����,數(shù)據(jù)安全���。
(5) 使用專業(yè)的安全防護產(chǎn)品
專業(yè)的抗D產(chǎn)品����,可以幫助網(wǎng)站過濾異常流量��,即便DDoS正在進行中,公司的業(yè)務(wù)也可以正常開展不受影響��。
后記
還是成本問題�����,DDoS并不一樣會發(fā)生���,如果黑客有更好的手段達成癱瘓目標(biāo)手段的話,就會使用更好的方式��。
很多網(wǎng)站可能存在性能bug��,幾個簡單的請求數(shù)據(jù)庫系統(tǒng)就會癱瘓;
很多系統(tǒng)會有網(wǎng)絡(luò)規(guī)劃�����、配置bug�����,可能幾個簡單的數(shù)據(jù)包就可以癱瘓整個網(wǎng)絡(luò);
甚至是機房防范措施不嚴��,或者存在漏洞�,攻擊者直接溜進機房關(guān)閉電源,也會癱瘓公司整體業(yè)務(wù);
能盛多少水,不取決于木桶最高的那塊板���,而取決于最低的那塊板�����。網(wǎng)站���、app是否安全,也是如此����,我們除了要采用一些手段防御DDoS攻擊外,也應(yīng)該關(guān)注其他方面的安全�����,做到全面防御��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
