7397 
2023-05-15 10:13:01 在互聯(lián)網(wǎng)時(shí)代,DDoS攻擊是最常見也是危害極大的一種網(wǎng)絡(luò)攻擊方式,當(dāng)出現(xiàn)DDoS攻擊時(shí),很多人都會手忙腳亂,那么如何有效防御DDOS攻擊?DDoS攻擊現(xiàn)象分為幾種?今天我們就一起來系統(tǒng)學(xué)習(xí)下關(guān)于DDoS攻擊的相關(guān)知識。
如何有效防御DDOS攻擊
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時(shí)候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡單,因?yàn)镹AT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間,但有些時(shí)候必須使用NAT,那就沒有好辦法了。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚。
4、升級主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強(qiáng)雙CPU的話就用它,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別貪圖IDE價(jià)格不貴量還足的便宜,否則會付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
事實(shí)證明,將網(wǎng)站做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。現(xiàn)在很多門戶網(wǎng)站主要都是靜態(tài)頁面,若你非要動態(tài)腳本調(diào)用,那就把它弄到另外一個單獨(dú)主機(jī),免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
6、增強(qiáng)操作系統(tǒng)的TCP/IP棧
win2000和win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數(shù)百個。
7、安裝專業(yè)抗DDOS防火墻
8、HTTP請求攔截
如果惡意請求有特征,對付起來很簡單,直接攔截就可以。HTTP請求的特征一般有兩種:IP地址和User Agent字段。
9、備份網(wǎng)站
你要有一個備份網(wǎng)站,或者最低限度有一個臨時(shí)主頁。生產(chǎn)服務(wù)器萬一下線了,可以立刻切換到備份網(wǎng)站,不至于毫無辦法。
備份網(wǎng)站不一定是全功能的,如果能做到全靜態(tài)瀏覽,就能滿足需求,最低限度應(yīng)該可以顯示公告,告訴用戶,網(wǎng)站出了問題,正在搶修。這種臨時(shí)主頁建議放到Github
Pages或者Netlify,它們的帶寬大,可以應(yīng)對攻擊,而且都支持綁定域名,還能從源碼自動構(gòu)建。
10、部署CDN
CDN指的是網(wǎng)站的靜態(tài)內(nèi)容分布到多個服務(wù)器,用戶就近訪問,提高速度。因此,CDN也是帶寬擴(kuò)容的一種方法,可以用來防御DDOS攻擊。
網(wǎng)站內(nèi)容存放在源服務(wù)器,CDN上面是內(nèi)容的緩存。用戶只允許訪問CDN,如果內(nèi)容不在CDN上,CDN再向源服務(wù)器發(fā)出請求。這樣的話,只要CDN夠大,就可以抵御很大的攻擊。不過,這種方法有一個前提,網(wǎng)站的大部分內(nèi)容必須可以靜態(tài)緩存。對于動態(tài)內(nèi)容為主的網(wǎng)站,就要想別的辦法,盡量減少用戶對動態(tài)數(shù)據(jù)的請求;本質(zhì)就是自己搭建一個微型CDN。各大云服務(wù)商提供的高防IP,背后也是這樣做的:網(wǎng)站域名指向高防IP,它提供了一個緩沖層,清洗流量,并對源服務(wù)器的內(nèi)容進(jìn)行緩存。
這里有一個關(guān)鍵點(diǎn),一旦上了CDN,千萬不要泄露源服務(wù)器的IP地址,否則攻擊者可以繞過CDN直接攻擊源服務(wù)器,前面的努力都白費(fèi)了。
11、其他防御手段
以上的幾條建議,適合絕大多數(shù)擁有自己主機(jī)的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就比較麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù),甚至需要購買七層交換機(jī)設(shè)備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
DDoS攻擊方式有哪些?
DDoS攻擊通過大量的無用請求占用網(wǎng)絡(luò)資源,從而造成網(wǎng)絡(luò)堵塞、服務(wù)器癱瘓等目的。DDoS攻擊的方式有很多種,大致上可以分為以下幾種:
①通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通信
②通過向服務(wù)器提交大量請求,使服務(wù)器超負(fù)荷
③阻斷某一用戶訪問服務(wù)器
④阻斷某服務(wù)與特定系統(tǒng)或個人的通訊
DDoS攻擊現(xiàn)象分為幾種?
①帶寬被大量占用:占用帶寬資源是DDoS攻擊的主要手段,如果發(fā)現(xiàn)網(wǎng)絡(luò)帶寬被大量無用數(shù)據(jù)所占據(jù),正常請求難以被處理,那么網(wǎng)站可能出現(xiàn)被DDoS攻擊的可能。
②服務(wù)器CPU被大量占用:DDoS攻擊利用肉雞或攻擊軟件對目標(biāo)服務(wù)器發(fā)送大量無效請求,導(dǎo)致服務(wù)器資源被大量占用,因此如果服務(wù)器某段時(shí)間出現(xiàn)CPU占用率過高那么就可能是網(wǎng)站受到DDoS攻擊影響。
③域名ping不出:當(dāng)攻擊者所針對的攻擊目標(biāo)是網(wǎng)站的DNS域名服務(wù)器時(shí),ping服務(wù)器的IP是正常聯(lián)通的,但是網(wǎng)站就是不能正常打開,并且在ping域名時(shí)會出現(xiàn)無法正常ping通的情況。
④服務(wù)器連接不到:如果網(wǎng)站服務(wù)器被大量DDoS攻擊,有可能造成服務(wù)器藍(lán)屏或死機(jī),這時(shí)就意味著服務(wù)器已經(jīng)連接不上了,網(wǎng)站出現(xiàn)連接錯誤的情況。
DDoS攻擊的危害是什么?
①業(yè)務(wù)受損:如果服務(wù)器因DDoS攻擊造成無法訪問,會導(dǎo)致客流量的嚴(yán)重流失,進(jìn)而對整個平臺和企業(yè)的業(yè)務(wù)造成嚴(yán)重影響。如游戲平臺、在線教育、電商平臺、金融行業(yè)等需要業(yè)務(wù)驅(qū)動的網(wǎng)站,受DDoS攻擊影響最大。
②形象受損:服務(wù)器無法訪問會導(dǎo)致用戶體驗(yàn)下降、用戶投訴增多等問題,不但會影響潛在客戶的轉(zhuǎn)化率和成交率,現(xiàn)有用戶也會對企業(yè)的安全性和穩(wěn)定性進(jìn)行重新評估,企業(yè)的品牌形象和市場聲譽(yù)將受到嚴(yán)重影響。
③數(shù)據(jù)泄露:如今使用DDoS作為其他網(wǎng)絡(luò)犯罪活動掩護(hù)的情況越來越多,當(dāng)網(wǎng)站被打到快癱瘓時(shí),維護(hù)人員的全部精力都在抗DDoS上面,攻擊者竊取數(shù)據(jù)、感染病毒、惡意欺騙等犯罪活動更容易得手。
如何有效防御DDOS攻擊成為互聯(lián)網(wǎng)安全的重要學(xué)習(xí)課程,全面綜合地設(shè)計(jì)網(wǎng)絡(luò)的安全體系,注意所使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備。還有就是我們自己要有防護(hù)意識,在平時(shí)就要注意用網(wǎng)安全。
