一.网络设备设施
网络架构、设施设备是整个系统得以顺畅运作的硬件基础,用足够的机器、容量去承受攻击,充分利用网络设备保护网络资源是一种较为理想的应对策略,说到底攻防也是双方资源的比拼,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失。相应地,投入资金也不小,但网络设施是一切防御的基础,需要根据自身情况做出平衡的选择。
1. 扩充带宽硬抗
网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站,数量屈指可数。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本也是难以承受之痛,国内非一线城市机房带宽价格大约为100元/M*月,买10G带宽顶一下就是100万,因此许多人调侃拼带宽就是拼人民币,以至于很少有人愿意花高价买大带宽做防御。
2. 使用硬件防火墙
许多人会考虑使用硬件防火墙,针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰,可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围(比如200G的硬防,但攻击流量有300G),洪水瞒过高墙同样抵挡不住。值得注意一下,部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。
3. 选用高性能设备
除了防火墙,服务器、路由器、交换机等网络设备的性能也需要跟上,若是设备性能成为瓶颈,即使带宽充足也无能为力。在有网络带宽保证的前提下,应该尽量提升硬件配置。
二、有效的抗D思想及方案
硬碰硬的防御偏于“鲁莽”,通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载的流量,通过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”,而且对抗效果良好。
4. 负载均衡
普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求,网络处理能力很受限制。负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载,而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后,链接请求被均衡分配到各个服务器上,减少单个服务器的负担,整个服务器系统可以处理每秒上千万甚至更多的服务请求,用户访问速度也会加快。
5. CDN流量清洗
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G 的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。这里我们推荐一款高性比的CDN产品:百度云加速,非常适用于中小站长防护。相关链接
6. 分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
如何应对 DDoS 攻击?高防服务器
还是拿最开始重庆火锅店举例,高防服务器就是给重庆火锅店增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。
高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,这东西是不错,就是贵
黑名单
面对火锅店里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是 “错杀一千,也不放一百” 的原则,会封锁正常流量,影响到正常业务。
DDoS 清洗
DDos 清洗,就是我发现客人进店几分钟以后,但是一直不点餐,我就把他踢出店里。
DDoS 清洗会对用户请求数据进行实时监控,及时发现 DOS 攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
CDN 加速
CDN 加速,我们可以这么理解:为了减少流氓骚扰,我干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。
在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。
推荐产品
1.百度云加速
百度云加速是百度旗下为网站提供一站式加速、安全防护和搜索引擎优化的产品。百度云加速正为数十万用户的近百万网站提供CDN、网络安全和SEO服务。每天处理十亿级的PV流量及数百亿TB的数据流量,并提供市场顶尖水平的稳定性和抗攻击能力。
优惠链接:https://www.zhujib.com/yunjiasu.html
2.京东云星盾
星盾安全加速(SCDN,Secure Content Delivery Network),是京东云推出的一体化分布式安全防御产品,提供免费 SSL 证书,集成 Web 攻击防护、CC 攻击防御、BOT 机器人分析,并将内容分发加速能力融于一身。在边缘节点注入安全能力,形成分布式的安全加速网络,让您的业务更安全、体验更流畅。适用于所有兼顾安全和内容加速的业务。
优惠链接:https://www.zhujib.com/jdxingdun.html
分布式拒绝服务攻击可导致许多计算机同时受到攻击,使攻击目标不可用。分布式拒绝服务攻击已经多次发生,导致许多大型网站无法运行。这不仅会影响用户的正常使用,还会造成巨大的经济损失。分布式拒绝服务攻击方法可以在攻击过程中伪造源IP地址,使得攻击发生时隐藏起来,同时也很难检测到攻击,因此这类攻击也成为一种很难防范的攻击。
基于自动化程度的分类
一。手动DDoS攻击。
早期的DDoS攻击都是手动配置的,即在发起DDoS攻击时,扫描有漏洞的远程计算机,入侵它们并安装代码都是手动完成的。
二。半自动DDoS攻击。
在半自动攻击中,DDoS攻击属于主代理端攻击模型。攻击者使用自动脚本进行扫描。主机端的机器在主机和代理之间协商攻击类型,详细记录受害者的地址和攻击何时发起等信息。
三。自动DDoS攻击。
在这种攻击中。绝对不允许攻击者与代理计算机之间进行通信。这种攻击的大多数攻击阶段仅限于一个命令。攻击的所有特征,如攻击类型、持续时间和受害者地址,都在攻击代码中预先实现。
攻击原理
分布式拒绝服务攻击的原理分布式拒绝服务攻击DDoS是一种特殊形式的基于DoS的拒绝服务攻击,是一种分布式、协同的大规模攻击。单个DoS攻击通常采用一对一的方法。它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装策略进行网络攻击。资源,导致网络或系统不堪重负和瘫痪,停止提供正常的网络服务。与单台主机发起的DoS攻击相比,分布式拒绝服务攻击DDoS是由数百甚至数千台主机发起的群体行为,这些主机在受到攻击后安装了攻击进程。
一个完整的DDoS攻击系统由四部分组成:攻击者、主控端、代理端和攻击目标。主控端和代理端分别控制并实际发起攻击,主控端只发出命令,不参与实际攻击,代理端发出DDoS的实际攻击包。攻击者对主机和代理端的计算机具有控制权限或部分控制权限。它将使用各种手段来隐藏自己,以免在攻击过程中被他人发现。一旦真正的攻击者将攻击命令发送到主控端,攻击者就可以关闭或离开网络。主控制端向每个代理主机发出命令。这样攻击者就可以逃脱追踪。每个攻击代理主机向目标主机发送大量服务请求数据包。这些数据包是伪装的,它们的来源无法识别,这些数据包请求的服务常常消耗大量的系统资源资源.非资源,导致目标主机无法为用户提供正常服务。它甚至导致系统崩溃。
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)