一、什么是DDoS攻擊����?
DDoS是Distributed Denial of Service的縮寫,翻譯成中文就是“分布式拒絕服務”�。DDoS攻擊將處于不同位置的多個計算機聯(lián)合起來作為攻擊平臺,對一個和多個目標發(fā)動DDoS攻擊�����,從而成倍提高攻擊威力�����。由于攻擊的發(fā)出點分布在不同地方,因此稱這類攻擊為分布式拒絕服務攻擊�。
二、攻擊的方式
DDoS攻擊通過大量的無用請求占用網(wǎng)絡(luò)資源�����,從而造成網(wǎng)絡(luò)堵塞�、服務器癱瘓等目的。DDoS攻擊的方式有很多種��,大致上可以分為一下幾種類型:
(1)通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通信�;
(2)通過向服務器提交大量請求,使服務器超負荷���;
(3)阻斷某一用戶訪問服務器�����;
(4)阻斷某服務與特定系統(tǒng)或個人的通訊����。
三�����、攻擊的現(xiàn)象
DDoS攻擊是最常見也是危害極大的一種網(wǎng)絡(luò)攻擊方式��,當出現(xiàn)DDoS攻擊時����,往往會出現(xiàn)以下幾種特征:
1、帶寬被大量占用
占用帶寬資源是DDoS攻擊的主要手段��,如果發(fā)現(xiàn)網(wǎng)絡(luò)帶寬被大量無用數(shù)據(jù)所占據(jù)���,正常請求難以被處理�,那么網(wǎng)站可能出現(xiàn)被DDOS攻擊的可能��。
2��、服務器CPU被大量占用
DDoS攻擊利用肉雞或攻擊軟件對目標服務器發(fā)送大量無效請求��,導致服務器資源被大量占用����,因此如果服務器某段時間出現(xiàn)CPU占用率過高那么就可能是網(wǎng)站受到DDoS攻擊影響。
3��、域名ping不出
當攻擊者所針對的攻擊目標是網(wǎng)站的DNS域名服務器時,ping服務器的IP是正常聯(lián)通的�����,但是網(wǎng)站就是不能正常打開����,并且在ping域名時會出現(xiàn)無法正常ping通的情況。
4��、服務器連接不到
如果網(wǎng)站服務器被大量DDoS攻擊����,有可能造成服務器藍屏或死機,這時就意味著服務器已經(jīng)連接不上了�,網(wǎng)站出現(xiàn)連接錯誤的情況。四��、攻擊的危害
四��、DDoS攻擊的危害
DDoS攻擊可以造成網(wǎng)絡(luò)的嚴重堵塞和服務器的癱瘓�����,會對政府和企業(yè)造成非常大的負面影響。
(1)業(yè)務受損
如果服務器因DDoS攻擊造成無法訪問����,會導致客流量的嚴重流失,進而對整個平臺和企業(yè)的業(yè)務造成嚴重影響��。如游戲平臺��,在線教育��,電商平臺�,金融行業(yè)���,直播平臺等需要業(yè)務驅(qū)動的網(wǎng)站���,受DDoS攻擊影響最大。
(2)形象受損
服務器無法訪問會導致用戶體驗下降����、用戶投訴增多等問題,不但會影響潛在客戶的轉(zhuǎn)化率和成交率�,現(xiàn)有用戶也會對企業(yè)的安全性和穩(wěn)定性進行重新評估,企業(yè)的品牌形象和市場聲譽將受到嚴重影響���。
(3)數(shù)據(jù)泄露
如今使用DDoS作為其他網(wǎng)絡(luò)犯罪活動掩護的情況越來越多���,當網(wǎng)站被打到快癱瘓時�,維護人員的全部精力都在抗DDoS上面���,攻擊者竊取數(shù)據(jù)���、感染病毒、惡意欺騙等犯罪活動更容易得手�。
如何防御DDOS攻擊?
總體來說����, 可以從硬件、單個主機���、整個服務器系統(tǒng)三方面入手���。
一、硬件
1. 增加帶寬
帶寬直接決定了承受攻擊的能力�����,增加帶寬硬防護是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了�,但成本非常高。
2�、提升硬件配置
在有網(wǎng)絡(luò)帶寬保證的前提下,盡量提升CPU���、內(nèi)存����、硬盤����、網(wǎng)卡�、路由器、交換機等硬件設(shè)施的配置���,選用知名度高�、 口碑好的產(chǎn)品�。
3、 硬件防火墻
將服務器放到具有DDoS硬件防火墻的機房����。專業(yè)級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK攻擊、TCP全連接攻擊�����、刷腳本攻擊等等流量型DDoS攻擊�����。
二�、單個主機
1、及時修復系統(tǒng)漏洞����,升級安全補丁。
2���、關(guān)閉不必要的服務和端口�����,減少不必要的系統(tǒng)加載項及自啟動項��,盡可能減少服務器中執(zhí)行較少的進程�����,更改工作模式���。
3�、iptables 防火墻��。
4���、嚴格控制賬戶權(quán)限�,禁止root登錄�,密碼登錄,修改常用服務的默認端口�。
三�����、整個服務器系統(tǒng)
1. 負載均衡
使用負載均衡將請求被均衡分配到各個服務器上�,減少單個服務器的負擔。
2����、CDN
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務器�,通過中心平臺的分發(fā)���、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容�����,降低網(wǎng)絡(luò)擁塞����,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡技術(shù)�����。相比高防硬件防火墻不可能扛下無限流量的限制�����,CDN則更加理智�����,多節(jié)點分擔滲透流量��,目前大部分的CDN節(jié)點都有200G 的流量防護功能�,再加上硬防的防護�,可以說能應付目絕大多數(shù)的DDoS攻擊了�。
3. 分布式集群防御
分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址,并且每個節(jié)點能承受不低于10G的DDoS攻擊�����,如一個節(jié)點受攻擊無法提供服務�,系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點�,使攻擊源成為癱瘓狀態(tài)。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
