DDoS攻擊規(guī)模也越來越大��,分布式拒絕服務(wù)(DDoS)攻擊已經(jīng)進(jìn)入了1 Tbps的DDoS攻擊時代��。不斷創(chuàng)新的攻擊方式讓傳統(tǒng)的安全服務(wù)商壓力劇增���,也讓很多年輕的互聯(lián)網(wǎng)創(chuàng)業(yè)公司被攻擊的毫無還手之力,多少年輕人懷著創(chuàng)業(yè)夢想����,想創(chuàng)造奇跡�,想改變行業(yè)�����,可惜在遭到DDoS攻擊后��,可能連生存下去的機(jī)會都沒有了����。因為DDoS防御成本比較高,而且市場上的高防服務(wù)商魚龍混雜����,如果對DDoS不了解,遇到那種垃圾騙子高防服務(wù)商���,活活把企業(yè)拖死了��。今天防御吧就來說說各種DDoS攻擊類型和一些緩解手段�,以及教大家如何分辨高防服務(wù)商的真假和水分�。
1、SYN Flood攻擊和防御方式
這里是最常見的一種DDoS攻擊類型���,利用TCP三次握手原理�,偽造的IP源��,以小博大����,難以追蹤,堪稱經(jīng)典的攻擊類型���。大量的偽造源的SYN攻擊包進(jìn)入服務(wù)器后���,系統(tǒng)會產(chǎn)生大量的SYN_RECV狀態(tài),最后耗盡系統(tǒng)的SYN Backlog��,導(dǎo)致服務(wù)器無法處理后續(xù)的TCP請求����,導(dǎo)致服務(wù)器癱瘓。
如何防御SYN Flood攻擊���?
方式1:軟件防火墻和系統(tǒng)參數(shù)優(yōu)化 (適用于SYN Flood攻擊流量小于服務(wù)器接入帶寬��,并且服務(wù)器性能足夠)
【W(wǎng)indows系統(tǒng): 可以修改注冊表來提高SYN數(shù)據(jù)包的處理能力】
進(jìn)入注冊表的[
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]項目
1. 啟用syn攻擊防護(hù)模式 (可以顯著提高Windows的SYN處理能力)
SynAttackProtect=2 [dword]
2. 加大TCP半開連接數(shù)的隊列數(shù)量
TcpMaxHalfOpen=10000 [dword]
3. 啟用動態(tài)Backlog隊列長度
EnableDynamicBacklog=1 [dword]
通過修改這三處注冊表信息可以防止一些小規(guī)模并且較為簡單的SYN Flood攻擊
方式2: 購買專業(yè)的DDoS云清洗和云防御服務(wù) (適用于SYN Flood攻擊流量較大��,強(qiáng)度較高的場景)
購買專業(yè)的DDoS云清洗服務(wù)之前可以咨詢一下服務(wù)商采用的SYN Flood防御算法和模式���,這個非常重要��,SYN Flood防御算法和模式對于不同業(yè)務(wù)產(chǎn)生的影響是完全不同的�����。錯誤的SYN Flood防御算法和模式雖然可以防御SYN Flood攻擊����,但是也會導(dǎo)致業(yè)務(wù)無法正常訪問��。常見的SYN Flood防御算法有:
SYN Cookies
SYN Proxy
SYN Reset
SYN SafeGuard
如果您咨詢的高防服務(wù)商無法回答或者不專業(yè)的話�,基本都是代理商和一些騙子。
2����、(ACK RST PSH FIN) Flood攻擊和防御方式
ACK Flood / RST Flood / PSH Flood / FIN Flood 這類攻擊本質(zhì)上不如SYN Flood危害那么大,但是也足夠輕松的導(dǎo)致服務(wù)器癱瘓�����。如下圖����,這類攻擊雖然不會導(dǎo)致服務(wù)器系統(tǒng)中出現(xiàn)大量的SYN_RECV��,但是會出現(xiàn)服務(wù)器向偽造源IP發(fā)送大量的RST報文���。
如何防御(ACK RST PSH FIN) Flood攻擊�?
針對這種攻擊,我建議直接上DDoS云清洗和云防御服務(wù)�����,沒必要調(diào)整系統(tǒng)��,因為沒什么意義����。
3、UDP Flood攻擊和防御方式
UDP Flood攻擊目前來說越來越普遍���,得益于各種軟件設(shè)計缺陷和UDP協(xié)議的無連接特性��,這讓UDP Flood攻擊非常容易發(fā)起���,并且可以得到數(shù)十倍數(shù)千倍的攻擊放大�,下圖可以讓大家了解到UDP放大攻擊的原理���。由于網(wǎng)站業(yè)務(wù)是用不到UDP協(xié)議的����,所以UDP Flood攻擊主要是針對游戲或者視頻直播業(yè)務(wù)的���。
如何防御UDP Flood攻擊�����?
如果遇到UDP攻擊����,只能找一家非常專業(yè)的DDoS云清洗服務(wù)商給你做保護(hù)了����,大部分DDoS云清洗和云防御服務(wù)商都是買的硬件防火墻,沒有實質(zhì)性的研發(fā)能力和技術(shù)實力來驅(qū)動這種端云聯(lián)動的防御算法����。只有真正擁有完全自研DDoS防御算法能力的服務(wù)商才可以做到這點(diǎn)。
4、DNS Query攻擊和防御方式
DNS Query攻擊是小編從業(yè)10多年來�,最具備威脅的攻擊方式,普遍存在于棋牌游戲����,私服,菠菜�,AV等暴利,競爭不是你死就是我活的行業(yè)�����。這種攻擊最大的威脅便是�����,通過隨機(jī)構(gòu)造并查詢被攻擊域名的二級域名���,繞過遞歸DNS服務(wù)器的解析記錄緩存,各地區(qū)地市的遞歸DNS服務(wù)器向權(quán)威DNS服務(wù)器發(fā)起大量的DNS查詢請求���,如果被攻擊域名所在的權(quán)威DNS服務(wù)器性能和帶寬無法支撐查詢所需要的帶寬����,那么就會直接癱瘓,并影響這個權(quán)威DNS服務(wù)器上的其他域名����。攻擊的原理示意圖如下:
如何防御DNS Query攻擊?
防御這種DNS Query攻擊��,不但難度極大��,而且成本極高����,并且還不一定是100%防御。尤其是遞歸DNS服務(wù)器壓力過大的時候����,運(yùn)營商可以直接封禁被攻擊的域名,所以只能找專業(yè)的DNS服務(wù)商和運(yùn)營商配合來做����,否則都是無效的,費(fèi)用也是非常貴的��。
5����、HTTP Flood攻擊(CC攻擊)和防御方式
HTTP Flood攻擊和SYN Flood攻擊一樣非常棘手,但是也非常經(jīng)典,攻擊效果非常顯著�����,而防御難度卻比SYN Flood攻擊高出幾個數(shù)量級��!同時攻擊軟件也日新月異�,各種攻擊模式,很大一部分的攻擊軟件甚至都可以完全模擬用戶行為��,真真假假很難分辨����。
如何防御HTTP Flood攻擊(CC攻擊)?
如果攻擊規(guī)模不大的�,可以考慮將被攻擊的頁面靜態(tài)化����,避開數(shù)據(jù)庫查詢,和動態(tài)語言�。
如果攻擊規(guī)模巨大,每秒QPS高達(dá)數(shù)萬以上的CC攻擊�,有兩種辦法。
方法1: 購買大量的服務(wù)器和帶寬�����,以及專業(yè)的硬件負(fù)載均衡設(shè)備做負(fù)載均衡,將WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器做成集群和高可用架構(gòu)��,這樣可以極大的提高CC攻擊的防御能力�����。但是這個成本可能會很高���。
方法2: 購買專業(yè)的DDoS云清洗和云防御服務(wù)商的服務(wù)���,專業(yè)的事情交給專業(yè)的人去做。
6����、慢請求攻擊和防御方式
慢請求攻擊是這幾年新興的攻擊方式,通過大量的肉雞發(fā)起大量的請求�����,每個肉雞每秒只請求1次���,大量肉雞會導(dǎo)致服務(wù)器遭受大量的攻擊請求��,但每個源IP看著卻沒有異常行為��。慢請求攻擊示意圖:
如何防御慢請求攻擊�����?
方案1:主要是擴(kuò)展后端業(yè)務(wù)服務(wù)器規(guī)模來死扛這種攻擊���,成本極高���,但是能解決。
方案2:尋找專業(yè)的云安全服務(wù)提供商�����,解決這種攻擊�����。
7���、脈沖型攻擊和防御方式
脈沖型的攻擊可以在短時間內(nèi)發(fā)起多次DDoS攻擊,并且快速停止���,快速打擊�,這對于很多云安全防御服務(wù)商來說就是噩夢。脈沖波型DDoS相對難以防御����,因為其攻擊方式避開了觸發(fā)自動化的防御機(jī)制。在“脈沖波”持續(xù)過程中����,被攻擊者的網(wǎng)絡(luò)陷入了癱瘓,而當(dāng)網(wǎng)絡(luò)恢復(fù)時�,又發(fā)起新一波脈沖攻擊,甚至能發(fā)起更多同步攻擊����,讓被攻擊者防不勝防。
如何防御脈沖型DDoS攻擊�����?
脈沖型DDoS攻擊防御難度極高�,只需要100G-200G的攻擊流量即可癱瘓T級別的防御,對于DDoS清洗設(shè)備的壓力和可靠性要求巨大�����。沒辦法自己解決,只能依靠專業(yè)的云安全服務(wù)商解決����,并且是有足夠強(qiáng)大的研發(fā)能力和技術(shù)支撐能力的。
8��、混合矢量(Multi-Vector)攻擊和防御方式
也叫做混合DDoS攻擊���,這種DDoS攻擊通常只存在于利潤巨大�,競爭巨大����,并且有著血海深仇對手的攻擊。這種攻擊通常會利用所有可利用的攻擊方式來攻擊目標(biāo)�,初期的目的是讓DDoS硬件防火墻處理不過來,當(dāng)你的防御算法無法精細(xì)的過濾掉這些惡意流量時��,但凡漏了一點(diǎn)點(diǎn)攻擊流量進(jìn)入后端服務(wù)器�����,那就是災(zāi)難性的�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
