1.什么是 DDoS 攻擊?
拒絕服務 (DoS) 攻擊是一種惡意攻擊���,其目的影響目標系統(tǒng) (例如網(wǎng)站或應用程序目標) 對合法最終用戶的可用性�����。攻擊者通常會生成大量數(shù)據(jù)包或請求�,最終壓垮目標系統(tǒng)。進行分布式拒絕服務 (DDoS) 攻擊時���,攻擊者會使用多個被攻破或受控制的源來生成攻擊�����。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎��?
一般而言�,DDoS 攻擊可以由受攻擊的開放系統(tǒng)互連 (OSI) 模型的層分隔開�。攻擊最常發(fā)生在網(wǎng)絡層 (第 3 層)、傳輸層 (第 4 層)�、表示層 (第 6 層) 和應用程層 (第 7 層)。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎����?
2.DDOS 攻擊分類
考慮緩解此類攻擊的技術時,將攻擊分成基礎設施層 (第 3、4 層) 攻擊和應用層 (第 6����、7 層) 攻擊非常有用。
2.1基礎設施層攻擊
第 3��、4 層中的攻擊通常被分類為基礎設施層攻擊���。這些也是最常見的 DDoS 攻擊類型,包括同步 (SYN) 洪水等攻擊以及用戶數(shù)據(jù)報包 (UDP) 洪水等其他反射攻擊�。這類攻擊的數(shù)量通常很多,目的是耗盡網(wǎng)絡或應用程序服務器的容量���。但是幸運的是�,這些類型的攻擊帶有清晰的簽名����,易于檢測。
2.2應用層攻擊
第 6�、7 層中的攻擊通常被分類為應用層攻擊。這類攻擊不太常見���,往往也更復雜�����。與基礎設施層攻擊相比��,這些攻擊的規(guī)模通常較小��,但往往側重于特別昂貴的應用程序����,讓真正的用戶無法使用這些應用程序。例如��,向登錄頁面或者昂貴的搜索 API 發(fā)起的 HTTP 請求洪水攻擊或者 Wordpress XML RPC 洪水攻擊 (也稱為 Wordpress pingback 攻擊) 都屬于應用層攻擊���。
3.DDoS 防護技術
3.1減少攻擊面
緩解 DDoS 攻擊的一種首選方式是盡可能減少可能受到攻擊的攻擊面�,這樣可以限制攻擊者的選擇��,讓使您能夠在一個位置構建防護�。我們應該確保應用程序或資源不向其不會與之通信的端口、協(xié)議或應用程序開放����。這樣可以盡可能減少攻擊點,讓我們有重點地進行防護���。在某些情況下����,您可以將計算資源放置于內容分發(fā)網(wǎng)絡 (CDN) 或負載均衡器的后面,并限制指向基礎設施某些部分 (例如數(shù)據(jù)庫服務器) 的直接 Internet 流量����,從而實現(xiàn)這一點。在其他情況下���,您可以使用防火墻或訪問控制列表 (ACL) 來控制到達應用程序的流量。
3.2制定擴展計劃
要緩解大規(guī)模 DDoS 攻擊����,帶寬 (或傳輸) 容量和服務器容量是可以吸收和緩解攻擊的兩個重要方面。
3.3傳輸容量�����。
設計應用程序架構時����,請確保您的托管提供商能夠提供足夠的冗余 Internet 連接,讓您能夠應對大量流量���。因為 DDoS 攻擊的最終目標是影響資源/應用程序的可用性����,所以資源/應用程序的位置應該靠近最終用戶和大型 Internet 交換機,這樣�����,即使出現(xiàn)大量流量��,您的用戶也能輕松訪問應用程序�。此外,Web 應用程序可以使用內容分發(fā)網(wǎng)絡 (CDN) 和 智能 DNS 解析服務��,這樣可以在更接近最終用戶的位置額外設置一層網(wǎng)絡基礎設置來提供內容和解析 DNS����,從而實現(xiàn)進一步的防護。
3.4服務器容量�。
大多數(shù) DDoS 攻擊是針對容量的攻擊,會耗盡大量資源�����;因此����,您應該能夠快速擴展或縮減計算資源��。要實現(xiàn)這一點����,您可以使用規(guī)模更大的計算資源�����,也可以使用支持更大容量�、網(wǎng)絡接口更多或者網(wǎng)絡連接更強的計算資源。此外����,您可以使用負載均衡器來持續(xù)監(jiān)控并在資源間移動負載�,以便防止任何一種資源過載,這也是一種常見的方式����。
4.了解正常流量和異常流量
檢測到進入主機的流量不斷增加時,我們要保持的底線是只接受主機在不影響可用性的情況下能夠處理的流量��。這個概念稱為速率限制����。更高級保護技術可以更進一步�,通過分析各個數(shù)據(jù)包來智能地只接受合法的流量��。要實現(xiàn)這一點�,您需要了解目標通常接收到的良好流量的特征,并能夠針對這一基準線來比較每個數(shù)據(jù)包��。
5.針對復雜的應用程序攻擊部署防火墻
比較好的做法是使用 Web 應用程序防火墻 (WAF) 來防護試圖利用應用程序本身漏洞的攻擊 (例如 SQL 注入或跨站點請求偽造)��。此外��,由于這些攻擊的獨特性質�,您應該能夠針對非法請求 (可能具有偽裝為良好流量或來自不良 IP、異常地理位置等特征) 輕松創(chuàng)建自定義緩解措施�����。在經驗豐富的人員的支持下研究流量模式并創(chuàng)建自定義防護措施��,也可能有助于緩解攻擊�。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎?
如何防御DDOS攻擊和CC攻擊�����?
1,使用ddos防御系統(tǒng)�����,安全廠商都有這種設備�����。
2����,通訊運營商也是有ddos防御服務的,這方面他們有天然優(yōu)勢�����。
3��,可以通過DNS防御針對dns的ddos攻擊���,可以購買第三方服務。
4�����,如果是租賃的云空間,對網(wǎng)站防御���,運營商那邊都是可以購買這些服務的�。
各種防御實際上都是有各自的優(yōu)缺點的�����,另外DDOS系統(tǒng)本身要對流量清洗����,網(wǎng)絡運行效率會有一定影響,這方面要考慮到��。
服務器經常被ddos攻擊怎么辦���?
DDOS攻擊全稱分布式拒絕服務(Distributed Denial of Service)攻擊指借助于客戶/服務器技術�,將多個計算機聯(lián)合起來作為攻擊平臺�����,對一個或多個目標發(fā)動DDoS攻擊����,從而成倍地提高拒絕服務攻擊的威力�。
通常�����,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡上的各個“肉雞”上��,代理程序收到指令時就發(fā)動攻擊����。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎?隨著網(wǎng)絡技術發(fā)展�,DDOS攻擊也在不斷進化,攻擊成本越來越低�����,而攻擊力度卻成倍加大����,使得DDOS更加難以防范。
一般來說���,會根據(jù)不同的協(xié)議類型和攻擊模式,將DDOS分為SYN Flood���、ACK Flood�、UDP Flood、NTP Flood���、SSDP Flood����、DNS Flood�、HTTP Flood、ICMP Flood�����、CC等攻擊類型�����。
每種類型的攻擊都有其自身的特點�����,例如反射型DDoS攻擊就是一種相對高階的攻擊方式�����。攻擊者并不直接攻擊目標服務IP,而是通過偽造被攻擊者的IP向全球特殊的服務器發(fā)請求報文���,這些特殊的服務器會將數(shù)倍于請求報文的數(shù)據(jù)包發(fā)送到那個被攻擊的IP����。DDoS攻擊是間接形成的�。實際上,攻擊者使用更多的木偶機器進行攻擊�。他們不直接將攻擊包發(fā)送給受害者,而是假裝是受害者����,然后將包發(fā)送給放大器,放大器隨后通過放大器反射回受害者�。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎?DDOS攻擊讓人望而生畏��,它可以直接導致網(wǎng)站宕機�����、服務器癱瘓�����,對網(wǎng)站乃至企業(yè)造成嚴重損失���。而且DDOS很難防范���,可以說目前沒有根治之法,只能盡量提升自身“抗壓能力”來緩解攻擊���,比如購買高防服務���。
面對DDOS攻擊,應該從網(wǎng)絡設施�����、防御方案�、預防手段三個方面進行抵御
一.網(wǎng)絡設備設施
用足夠的機器、容量去承受攻擊�����,充分利用網(wǎng)絡設備保護網(wǎng)絡資源是一種較為理想的應對策略���,說到底攻防也是雙方資源的比拼����。
實際上,攻擊者會不斷訪問用戶�����、奪取用戶資源����,我們自己的能量也在逐漸耗失。如果完全的硬拼設施���,投入資金也不小���。
網(wǎng)絡設施是一切防御的基礎,所以需要根據(jù)自身情況做出平衡的選擇����。
1. 擴充帶寬硬抗
網(wǎng)絡帶寬直接決定了承受攻擊的能力,國內大部分網(wǎng)站帶寬規(guī)模在10M到100M���,知名企業(yè)帶寬能超過1G���,超過100G的基本是專門做帶寬服務和抗攻擊服務的網(wǎng)站��,數(shù)量屈指可數(shù)�。
DDoS攻擊者可以通過控制一些服務器���、個人電腦等成為肉雞。如果控制1000臺機器��,每臺帶寬為10M�����,那么攻擊者就有了10G的流量����。當它們同時向某個網(wǎng)站發(fā)動攻擊,帶寬瞬間就被占滿了�。
增加帶寬硬防護是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了���。但帶寬成本也是難以承受之痛���,所以很少有人愿意花高價買大帶寬做防御���。
2. 使用硬件防火墻
針對DDoS攻擊和黑客入侵而設計的專業(yè)級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊���、TCP全連接攻擊����、刷腳本攻擊等流量型DDoS攻擊����。
如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機房�����。但如果網(wǎng)站流量攻擊超出了硬防的防護范圍(如:200G的硬防��,但攻擊流量有300G)����,硬件防火墻同樣抵擋不住。部分硬件防火墻基于包過濾型防火墻修改為主�����,只在網(wǎng)絡層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應用層���,防御能力就比較弱了��。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎��?3. 選用高性能設備
除了防火墻���,服務器��、路由器����、交換機等網(wǎng)絡設備的性能也需要跟上,若是設備性能成為瓶頸�����,即使帶寬充足也無能為力��。在有網(wǎng)絡帶寬保證的前提下�,應該盡量提升硬件配置。
二��、有效的對抗DDOS思維及方案
通過架構布局、整合資源等方式提高網(wǎng)絡的負載能力來分攤局部過載的流量����,通過接入第三方服務識別并攔截惡意流量等對抗效果較好(相對比與提升帶寬和使用硬件防火墻,當然組合效果更佳)���。
1. 負載均衡
普通級別服務器處理數(shù)據(jù)的能力最多只能答復每秒數(shù)十萬個鏈接請求�,網(wǎng)絡處理能力很受限制����。負載均衡建立在現(xiàn)有網(wǎng)絡結構之上,它提供了一種廉價有效透明的方法擴展網(wǎng)絡設備和服務器的帶寬���、增加吞吐量����、加強網(wǎng)絡數(shù)據(jù)處理能力�、提高網(wǎng)絡的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效���。在加上負載均衡方案后�����,鏈接請求被均衡分配到各個服務器上���,減少單個服務器的負擔����,整個服務器系統(tǒng)可以處理每秒上千萬甚至更多的服務請求��,用戶訪問速度也會加快��。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎�?2. CDN流量清洗
CDN是構建在網(wǎng)絡之上的內容分發(fā)網(wǎng)絡,依靠部署在各地的邊緣服務器�����,通過中心平臺的分發(fā)����、調度等功能模塊�����,使用戶就近獲取所需內容��,降低網(wǎng)絡擁塞,提高用戶訪問響應速度和命中率�����,因此CDN加速也用到了負載均衡技術��。相比高防硬件防火墻不可能扛下無限流量的限制���,CDN則更加理智���,多節(jié)點分擔滲透流量,目前大部分的CDN節(jié)點都有200G的流量防護功能���,再加上硬防的防護����,可以說能應付目絕大多數(shù)的DDoS攻擊了�����。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎���?
3. 分布式集群防御
分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址��,并且每個節(jié)點能承受不低于10G的DDoS攻擊����,如一個節(jié)點受攻擊無法提供服務,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點��,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點��,使攻擊源成為癱瘓狀態(tài)�,從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎�?
三.預防為主
DDoS的發(fā)生可能永遠都無法預知,而一來就兇猛如洪水決堤���,因此預防措施和應急預案就顯得尤為重要�����。通過日常習慣性的運維操作讓系統(tǒng)健壯穩(wěn)固,沒有漏洞可鉆�,降低脆弱服務被攻陷的可能,將攻擊帶來的損失降低到最小���。
1. 篩查系統(tǒng)漏洞
及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞����,及時安裝系統(tǒng)補丁,對重要信息(如系統(tǒng)配置信息)建立和完善備份機制�,對一些特權賬號(如管理員賬號)的密碼謹慎設置,通過一系列的舉措可以把攻擊者的可乘之機降低到最小���。
服務器被ddos攻擊怎么辦,服務器被DDos攻擊就沒有有效的處理方法嗎�?2. 系統(tǒng)資源優(yōu)化
合理優(yōu)化系統(tǒng)��,避免系統(tǒng)資源的浪費�,盡可能減少計算機執(zhí)行少的進程,更改工作模式��,刪除不必要的中斷讓機器運行更有效�,優(yōu)化文件位置使數(shù)據(jù)讀寫更快,空出更多的系統(tǒng)資源供用戶支配���,以及減少不必要的系統(tǒng)加載項及自啟動項���,提高web服務器的負載能力。
3. 過濾不必要的服務和端口
禁止未用的服務����,將開放端口的數(shù)量最小化十分重要����。端口過濾模塊通過開放或關閉一些端口��,允許用戶使用或禁止使用部分服務����,對數(shù)據(jù)包進行過濾,分析端口��,判斷是否為允許數(shù)據(jù)通信的端口��,然后做相應的處理��。
4. 限制特定的流量
檢查訪問來源并做適當?shù)南拗��,以防止異常�、惡意的流量來襲,限制特定的流量���,主動保護網(wǎng)站安全���。
目前,DDOS攻擊并沒有最好的根治之法�����,做不到徹底防御���,只能采取各種手段在一定程度上減緩攻擊傷害��。所以平時服務器的運維工作還是要做好基本的保障�,并借鑒上述方案�,將DDOS攻擊帶來的損失盡量降低到最小。
經營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
