< img height="1" width="1" style="display:none" src="https://a.gdt.qq.com/pixel?user_action_set_id=1109261076&action_type=PAGE_VIEW&noscript=1"/>

抗击ddos攻击三部曲,你都知道吗?

DDOS攻击别名分散式阻断服务攻击,是指攻击者利用客户机可能包括电脑及IoT 装置等其他服务器技术将多台计算机结合为攻击平台,对某个目标发起的攻击,达到恶意中断目标着服务器、服务和网络的正常流量的行为。通俗来讲,DDoS 攻击类似于高速公路堵塞的交通壅塞,避免常规流量到达其所需的目的地。而我们则可以通过DDOS三部曲从源头分析击破不同DDOS攻击的防御办法。

  DDOS攻击别名分散式阻断服务攻击,是指攻击者利用客户机可能包括电脑及IoT 装置等其他服务器技术将多台计算机结合为攻击平台,对某个目标发起的攻击,达到恶意中断目标着服务器、服务和网络的正常流量的行为。通俗来讲,DDoS 攻击类似于高速公路堵塞的交通壅塞,避免常规流量到达其所需的目的地。而我们则可以通过DDOS三部曲从源头分析击破不同DDOS攻击的防御办法。

  一、DDoS 攻击的工作原理

  DDoS攻击要求攻击者获取对线上机器网路的控制,以便执行攻击。电脑及其他机器(例如IoT装置)受到恶意程式码的感染,使每个机器变为傀儡程式(或僵尸)。随后,攻击者远端控制傀儡程式群组,亦称僵尸网路。

  一旦建立了僵尸网路,攻击者便能透过以远端控制方式向每个傀儡程式传送更新指示,为机器提供导向。当受害者的IP位址成为僵尸网路的目标时,每个傀儡程式都将透过向目标传送要求来进行回应,可能使目标伺服器或网路溢位容量,从而使阻断服务变为正常流量。由于每个傀儡程式都是一个合法的网际网路装置,将攻击流量与正常流量分离可能比较困难。

  二、DDoS 攻击的类型有哪些?

  不同的DDoS攻击向量以网路连线的不同元件为目标。为了解不同DDoS攻击的工作原理,有必要了解网路连线的建立方法。网际网路的网路连线由许多不同的元件或「层」组成。与从头开始建房子类似,此模型中的每个步骤都有不同的用途。以下显示的OSI模型,是一个用于以7个不同的层级描述网路连线的概念框架。

  尽管几乎所有DDoS 攻击都涉及到淹没目标装置或具有流量的网路,但攻击可分为三个类别。攻击者可能利用一个或多个不同的攻击向量,或根据目标采取的应对措施循环潜在攻击向量。

  1)应用程式层攻击

  这些攻击的目的在于耗尽目标资源。攻击以在伺服器上产生并在回应HTTP要求时传送的网页的层为目标。单一HTTP要求在用户端执行上非常便宜,但在目标伺服器上回应却比较昂贵,因为伺服器通常必须载入多个档案并执行资料库查询,以便建立一个网页。第7层攻击很难抵御,因为流量可能很难标记为恶意。应用程式层攻击如:HTTP 洪水攻击。此攻击类似于同时在多个不同的电脑上反覆按下网页浏览器中的重新整理,大量HTTP 要求淹没了伺服器,造成了阻断服务。

  2)通讯协定攻击

  通讯协定攻击,又称状态表耗尽攻击,透过消耗Web 应用程式伺服器或防火墙或Load Balancer 等中间资源的所有可用状态表容量造成服务中断。通讯协定攻击利用第3 层和第4 层通讯协定堆叠的弱点以使目标无法存取。通讯协定攻击如:SYN 洪水攻击。SYN洪水攻击类似于库房的工作人员从店铺前端接收要求。工作人员接收要求,获取套件,并在将该套件呈现至前端前等待确认。随后,工作人员无需确认即可获取许多更多的套件要求,直至其无法承载任何更多套件、应接不暇且要求开始无人解答。

  3)巨流量攻击

  此攻击类别尝试透过消耗目标与较大网际网路之间所有的可用频宽,建立壅塞。透过使用一种放大形式或建立大量流量的另一种方式(例如来自僵尸网路的要求) ,将大量资料传送至目标。如:DNS 放大。DNS放大就好比某个人需要给酒店通电话一样,并表示「我每个房间都订一间,请给我回电并告知我的整个预订」,其中,他们所提供的回拨电话号码是目标机器的号码。不费吹灰之力,便产生很长的回应。透过向带有伪装IP位址(目标的真实IP位址)的开放式DNS伺服器提出要求,目标IP位址随即接收来自伺服器的回应。攻击者建立要求,例如DNS伺服器回应带有大量资料的目标。因此,目标接收攻击者初始查询的放大。

  三、解决DDoS 攻击常采取的办法有哪些?

  解决DDoS 攻击需要根据攻击的类型来采取相应的策略以对抗其攻击行为。一般而言,攻击越复杂,流量可能越难以与正常流量区分开来,攻击者的目的在于尽可能多地混淆视听,使你解决起来更困难。那么,如果服务器被DDOS了,我们应该怎么办呢?首先要确保服务器软件没有任何漏洞且定期扫描漏洞,并及时打上安全补丁,同时删除未使用的服务,关闭未使用的端口等这些常被攻击者利用的入口,以防攻击者入侵。在资金允许的情况下,可以采取以下几种方式来防御DDOS攻击:

  1)采用高防服务器,保证服务器系统的安全

  DDOS高防服务器主要是指独立单个硬防防御应对DDOS攻击和CC攻击100G以上的服务器,可以为单个客户提供安全维护,根据各个IDC机房的环境不同,有的提供有硬防,有使用软防。简单来说,就是能够帮助网站拒绝服务攻击,并且定时扫描现有的网络主节点,查找可能存在的安全漏洞的服务器。了解更多高防服务器

  2)采用高防IP,隐藏服务器的真实IP地址

  高防IP是针对互联网服务器在遭受大流量DDoS攻击后导致服务不可用的情况下的一款增值服务。其防御原理是用户可通过配置高防IP,将攻击流量引流到高防IP,从而保护真正的IP不被暴露,确保源站的稳定可靠,保障用户的访问质量和对内容提供商的黏度。了解更多高防IP

  3)采用高防CDN,通过内容分离数据流量进行防御

  CDN防御力的全名是ContentDeliveryNetworkDefense,即內容分离数据流量防御力。高防CDN的基本原理就是说搭建在互联网之中的內容派发互联网,借助布署在全国各地的边沿网络服务器,根据管理中心服务平台的负载均衡、內容派发、生产调度等程序模块,使客户就近原则获得需要內容,而无需立即浏览网站源网络服务器。其基本原理简易的说就是说搭建好几个高防服务器CDN连接点,当有CDN连接点攻击的那时候每个连接点相互承担。不容易由于一个连接点被攻击砍死而造成网站无法打开,同时采用CDN还可以保护网站源IP。这儿有一个关键环节,一旦连接了高防CDN(免费的CDN一般能防止5G左右的DDOS)),千万别泄漏源网络服务器的网络ip,不然攻击者能够避过CDN立即攻击源网络服务器。点击领取1T免费CDN

  4)配置Web应用程序防火墙(WAF

  Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略的一款产品。腾正WAF(Web应用防火墙)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站业务的安全与可用性。了解腾正WAF

给我发消息