如今,互聯(lián)網(wǎng)的應(yīng)用大大降低了創(chuàng)業(yè)的門檻���,越來越多的互聯(lián)網(wǎng)創(chuàng)業(yè)公司出現(xiàn)在我們的生活里。但是��,企業(yè)享受著互聯(lián)網(wǎng)平等開源等優(yōu)勢的同時����,也必須面臨著比傳統(tǒng)時代更嚴峻的安全危機,無處不在的DDoS攻擊就是其中之一�。DDoS(分布式拒絕服務(wù)攻擊)的特點在于攻擊來自四面八方,大大增加了防御難度�。
先來看這樣一組數(shù)據(jù):
2019年上半年較2018年同期對比攻擊量上升。伴隨業(yè)務(wù)的高速擴張����,攻擊率下降。
自2013年以來�����,DDoS攻擊峰值持續(xù)走高��,尤其是2018和2019年����,Tb級的攻擊屢見不鮮�����。
攻擊手法上�����,以反射放大類UDPFLOOD為主�����,占比62%�。
從數(shù)據(jù)能看出��,當前的DDoS攻擊已經(jīng)成為了讓互聯(lián)網(wǎng)公司頭疼的一個大問題�。但是要想防范這類攻擊,還需從源頭做起����,先要了解DDoS攻擊到底是什么樣的。
互聯(lián)網(wǎng)上有一段最有趣���、最直白�、最好玩的解釋:一群惡霸試圖讓對面那家有著競爭關(guān)系的商鋪無法正常營業(yè),他們會采取什么手段呢?惡霸們扮作普通客戶一直擁擠在對手的商鋪����,賴著不走,真正的購物者卻無法進入;或者總是和營業(yè)員有一搭沒一搭的東扯西扯��,讓工作人員不能正常服務(wù)客戶;也可以為商鋪的經(jīng)營者提供虛假信息���,商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空,最終跑了真正的大客戶����,損失慘重。此外惡霸們完成這些壞事有時憑單干難以完成���,需要叫上很多人一起��。嗯�����,網(wǎng)絡(luò)安全領(lǐng)域中DoS和DDoS攻擊就遵循著這些思路����。
我猜你一定聽懂了,沒聽懂也沒關(guān)系��,看圖:
在網(wǎng)絡(luò)世界���,這些惡霸有一個特殊的稱號——“肉雞”��,它們可謂是DDoS攻擊的核心大殺器�����。這里提到一點�,實踐證明�,目前并不是只有PC會成為“肉雞”,現(xiàn)在可以這樣說���,只要是物聯(lián)的設(shè)備都有可能成為肉雞���,比如:手機、服務(wù)器��、智能音響等等�。
還沒懂?沒看關(guān)系,記住這三步就OK:
第一:搜集目標����,刺探軍情�。比如:搜集目標家有多少人�,都使用哪些設(shè)備,家庭情況怎么樣����,值不值得攻擊,然后找個機會順便潛入目標家拿到開門的最高權(quán)限;
第二:確定攻擊時間段�����。當目標一家人都在家或者有很多客人上門的時候是發(fā)動攻擊的最佳時間段;
第三:發(fā)動肉雞攻擊��。經(jīng)過前2步的精心準備后���,“雞主”把這些肉雞全引向盯梢已久的目標家門口,打開門����,讓肉雞如洪水般涌入目標家里。
那么問題來了���,互聯(lián)網(wǎng)創(chuàng)業(yè)公司要如何防御頻發(fā)的DDoS攻擊?別擔心���,這幾個絕招教給你:
1�、采用高性能的網(wǎng)絡(luò)設(shè)備
首先需要保證路由器���、交換機��、硬件防火墻等網(wǎng)絡(luò)設(shè)備的性能���,當發(fā)生DDoS攻擊的時候,用足夠性能的機器�、容量去承受攻擊,充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源是十分有效的應(yīng)對策略��。
2�、保證服務(wù)器系統(tǒng)的安全
首先要確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵����。確保服務(wù)器采用最新系統(tǒng),并打上安全補丁�����。在服務(wù)器上刪除未使用的服務(wù),關(guān)閉未使用的端口�����。對于服務(wù)器上運行的網(wǎng)站����,確保其打了最新的補丁,沒有安全漏洞�����。
3���、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力��,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊����,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了�。但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的�,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬��,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M����,這點一定要搞清楚。
4�、把網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面�����,不僅能大大提高抗攻擊能力�����,而且還給黑客入侵帶來不少麻煩��,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)�。如果非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去���,免的遭受攻擊時連累主服務(wù)器��,當然���,適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的����。
5��、增強操作系統(tǒng)的TCP/IP棧
Windows操作系統(tǒng)本身就具備一定的抵抗DDoS攻擊的能力��,只是默認狀態(tài)下沒有開啟而已�,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個����,具體怎么開啟,還需自行去微軟官網(wǎng)了解���。
6���、HTTP請求的攔截
HTTP 請求的特征一般有兩種:IP 地址和 User Agent 字段。比如�,惡意請求都是從某個 IP 段發(fā)出的��,那么把這個 IP 段封掉就行�����。或者����,它們的 User Agent 字段有特征(包含某個特定的詞語),那就把帶有這個詞語的請求攔截����。
7、部署CDN
CDN 指的是網(wǎng)站的靜態(tài)內(nèi)容分發(fā)到多個服務(wù)器�����,用戶就近訪問���,提高速度�。因此�����,CDN 也是帶寬擴容的一種方法���,可以用來防御DDOS攻擊�����。
8����、隱藏服務(wù)器的真實IP地址
服務(wù)器前端加CDN中轉(zhuǎn),如果資金充裕的話����,可以購買高防的盾機,用于隱藏服務(wù)器真實IP�,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址���。此外�����,服務(wù)器上部署的其他域名也不能使用真實IP解析�,全部都使用CDN來解析���。
9���、定期檢查
企業(yè)網(wǎng)骨干需要定期檢查主要的網(wǎng)絡(luò)節(jié)點,清查可能會出現(xiàn)的問題��,對于新出現(xiàn)的漏洞及時處理����。主要因為是骨干節(jié)點本身就具有很高的帶寬,這是黑客們可以利用的好位置�����,所以說要加強這些主機是十分必要的���。
隨著全球互聯(lián)網(wǎng)業(yè)務(wù)和云計算的發(fā)展熱潮���,可以預(yù)見到,針對云數(shù)據(jù)中心的DDoS攻擊頻率還會大幅度增長�,攻擊手段也會更加復(fù)雜。安全工作是一個長期持續(xù)性而非階段性的工作����,所以需要時刻保持一種警覺,而且網(wǎng)絡(luò)安全不僅僅是某家企業(yè)的責任��,更是全社會的共同責任�,需要大家共同努力����。
防御吧主要經(jīng)營高防CDN�����、高防CDN服務(wù)器�、高防CDN加速、免備案高防CDN�、SSL加密證書、抗D云WAF����、下一代Web類業(yè)務(wù)DDoS防御服務(wù),DDoS清洗系統(tǒng),DDoS清洗中心覆蓋全球主要國家,千萬級CC攻擊防御能力,讓您的業(yè)務(wù)固若金湯。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
