7333 
2023-05-15 10:13:01 在互聯(lián)網(wǎng)時(shí)代,DDoS攻擊是最常見(jiàn)也是危害極大的一種網(wǎng)絡(luò)攻擊方式,當(dāng)出現(xiàn)DDoS攻擊時(shí),很多人都會(huì)手忙腳亂,那么如何有效防御DDOS攻擊?DDoS攻擊現(xiàn)象分為幾種?今天我們就一起來(lái)系統(tǒng)學(xué)習(xí)下關(guān)于DDoS攻擊的相關(guān)知識(shí)。
如何有效防御DDOS攻擊
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來(lái)對(duì)抗某種類(lèi)的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無(wú)論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡(jiǎn)單,因?yàn)镹AT需要對(duì)地址來(lái)回轉(zhuǎn)換,轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間,但有些時(shí)候必須使用NAT,那就沒(méi)有好辦法了。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過(guò)100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚。
4、升級(jí)主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量提升硬件配置,要有效對(duì)抗每秒10萬(wàn)個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強(qiáng)雙CPU的話就用它,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤(pán)要盡量選擇SCSI的,別貪圖IDE價(jià)格不貴量還足的便宜,否則會(huì)付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網(wǎng)站做成靜態(tài)頁(yè)面或者偽靜態(tài)
事實(shí)證明,將網(wǎng)站做成靜態(tài)頁(yè)面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來(lái)不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)。現(xiàn)在很多門(mén)戶網(wǎng)站主要都是靜態(tài)頁(yè)面,若你非要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一個(gè)單獨(dú)主機(jī),免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪問(wèn),因?yàn)榻?jīng)驗(yàn)表明使用代理訪問(wèn)你網(wǎng)站的80%屬于惡意行為。
6、增強(qiáng)操作系統(tǒng)的TCP/IP棧
win2000和win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒(méi)有開(kāi)啟而已,若開(kāi)啟的話可抵抗約10000個(gè)SYN攻擊包,若沒(méi)有開(kāi)啟則僅能抵抗數(shù)百個(gè)。
7、安裝專(zhuān)業(yè)抗DDOS防火墻
8、HTTP請(qǐng)求攔截
如果惡意請(qǐng)求有特征,對(duì)付起來(lái)很簡(jiǎn)單,直接攔截就可以。HTTP請(qǐng)求的特征一般有兩種:IP地址和User Agent字段。
9、備份網(wǎng)站
你要有一個(gè)備份網(wǎng)站,或者最低限度有一個(gè)臨時(shí)主頁(yè)。生產(chǎn)服務(wù)器萬(wàn)一下線了,可以立刻切換到備份網(wǎng)站,不至于毫無(wú)辦法。
備份網(wǎng)站不一定是全功能的,如果能做到全靜態(tài)瀏覽,就能滿足需求,最低限度應(yīng)該可以顯示公告,告訴用戶,網(wǎng)站出了問(wèn)題,正在搶修。這種臨時(shí)主頁(yè)建議放到Github
Pages或者Netlify,它們的帶寬大,可以應(yīng)對(duì)攻擊,而且都支持綁定域名,還能從源碼自動(dòng)構(gòu)建。
10、部署CDN
CDN指的是網(wǎng)站的靜態(tài)內(nèi)容分布到多個(gè)服務(wù)器,用戶就近訪問(wèn),提高速度。因此,CDN也是帶寬擴(kuò)容的一種方法,可以用來(lái)防御DDOS攻擊。
網(wǎng)站內(nèi)容存放在源服務(wù)器,CDN上面是內(nèi)容的緩存。用戶只允許訪問(wèn)CDN,如果內(nèi)容不在CDN上,CDN再向源服務(wù)器發(fā)出請(qǐng)求。這樣的話,只要CDN夠大,就可以抵御很大的攻擊。不過(guò),這種方法有一個(gè)前提,網(wǎng)站的大部分內(nèi)容必須可以靜態(tài)緩存。對(duì)于動(dòng)態(tài)內(nèi)容為主的網(wǎng)站,就要想別的辦法,盡量減少用戶對(duì)動(dòng)態(tài)數(shù)據(jù)的請(qǐng)求;本質(zhì)就是自己搭建一個(gè)微型CDN。各大云服務(wù)商提供的高防IP,背后也是這樣做的:網(wǎng)站域名指向高防IP,它提供了一個(gè)緩沖層,清洗流量,并對(duì)源服務(wù)器的內(nèi)容進(jìn)行緩存。
這里有一個(gè)關(guān)鍵點(diǎn),一旦上了CDN,千萬(wàn)不要泄露源服務(wù)器的IP地址,否則攻擊者可以繞過(guò)CDN直接攻擊源服務(wù)器,前面的努力都白費(fèi)了。
11、其他防御手段
以上的幾條建議,適合絕大多數(shù)擁有自己主機(jī)的用戶,但假如采取以上措施后仍然不能解決DDOS問(wèn)題,就比較麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù),甚至需要購(gòu)買(mǎi)七層交換機(jī)設(shè)備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。
DDoS攻擊方式有哪些?
DDoS攻擊通過(guò)大量的無(wú)用請(qǐng)求占用網(wǎng)絡(luò)資源,從而造成網(wǎng)絡(luò)堵塞、服務(wù)器癱瘓等目的。DDoS攻擊的方式有很多種,大致上可以分為以下幾種:
①通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通信
②通過(guò)向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷
③阻斷某一用戶訪問(wèn)服務(wù)器
④阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊
DDoS攻擊現(xiàn)象分為幾種?
①帶寬被大量占用:占用帶寬資源是DDoS攻擊的主要手段,如果發(fā)現(xiàn)網(wǎng)絡(luò)帶寬被大量無(wú)用數(shù)據(jù)所占據(jù),正常請(qǐng)求難以被處理,那么網(wǎng)站可能出現(xiàn)被DDoS攻擊的可能。
②服務(wù)器CPU被大量占用:DDoS攻擊利用肉雞或攻擊軟件對(duì)目標(biāo)服務(wù)器發(fā)送大量無(wú)效請(qǐng)求,導(dǎo)致服務(wù)器資源被大量占用,因此如果服務(wù)器某段時(shí)間出現(xiàn)CPU占用率過(guò)高那么就可能是網(wǎng)站受到DDoS攻擊影響。
③域名ping不出:當(dāng)攻擊者所針對(duì)的攻擊目標(biāo)是網(wǎng)站的DNS域名服務(wù)器時(shí),ping服務(wù)器的IP是正常聯(lián)通的,但是網(wǎng)站就是不能正常打開(kāi),并且在ping域名時(shí)會(huì)出現(xiàn)無(wú)法正常ping通的情況。
④服務(wù)器連接不到:如果網(wǎng)站服務(wù)器被大量DDoS攻擊,有可能造成服務(wù)器藍(lán)屏或死機(jī),這時(shí)就意味著服務(wù)器已經(jīng)連接不上了,網(wǎng)站出現(xiàn)連接錯(cuò)誤的情況。
DDoS攻擊的危害是什么?
①業(yè)務(wù)受損:如果服務(wù)器因DDoS攻擊造成無(wú)法訪問(wèn),會(huì)導(dǎo)致客流量的嚴(yán)重流失,進(jìn)而對(duì)整個(gè)平臺(tái)和企業(yè)的業(yè)務(wù)造成嚴(yán)重影響。如游戲平臺(tái)、在線教育、電商平臺(tái)、金融行業(yè)等需要業(yè)務(wù)驅(qū)動(dòng)的網(wǎng)站,受DDoS攻擊影響最大。
②形象受損:服務(wù)器無(wú)法訪問(wèn)會(huì)導(dǎo)致用戶體驗(yàn)下降、用戶投訴增多等問(wèn)題,不但會(huì)影響潛在客戶的轉(zhuǎn)化率和成交率,現(xiàn)有用戶也會(huì)對(duì)企業(yè)的安全性和穩(wěn)定性進(jìn)行重新評(píng)估,企業(yè)的品牌形象和市場(chǎng)聲譽(yù)將受到嚴(yán)重影響。
③數(shù)據(jù)泄露:如今使用DDoS作為其他網(wǎng)絡(luò)犯罪活動(dòng)掩護(hù)的情況越來(lái)越多,當(dāng)網(wǎng)站被打到快癱瘓時(shí),維護(hù)人員的全部精力都在抗DDoS上面,攻擊者竊取數(shù)據(jù)、感染病毒、惡意欺騙等犯罪活動(dòng)更容易得手。
如何有效防御DDOS攻擊成為互聯(lián)網(wǎng)安全的重要學(xué)習(xí)課程,全面綜合地設(shè)計(jì)網(wǎng)絡(luò)的安全體系,注意所使用的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備。還有就是我們自己要有防護(hù)意識(shí),在平時(shí)就要注意用網(wǎng)安全。
