可以說摹迷,DDoS是目前最兇猛缸榛、最難防御的網(wǎng)絡(luò)攻擊之一络拌。現(xiàn)實(shí)情況是供鸠,這個(gè)世界級(jí)難題還沒有完美的、徹底的解決辦法阔籽,但采取適當(dāng)?shù)拇胧┮越档凸魩淼挠绊懜帷p少損失是十分必要的涛漂。將DDoS防御作為整體安全策略的重要部分來考慮篇梭,防御DDoS攻擊與防數(shù)據(jù)泄露氢橙、防惡意植入、反病毒保護(hù)等安全措施同樣不可或缺恬偷。
不得不得提的是悍手,防御DDoS攻擊是一個(gè)系統(tǒng)的工程。防御DDoS應(yīng)該根據(jù)攻擊流量大小等實(shí)際情況靈活應(yīng)對(duì),采取多種組合坦康,定制策略才能更好地實(shí)現(xiàn)防御效果竣付。畢竟,攻擊都流行走混合路線了滞欠,防御怎么還能一種功夫包打全能古胆。
由于DDoS攻擊和防御都面臨著成本開支,當(dāng)我們的防御強(qiáng)度逐步增加筛璧,攻擊成本也對(duì)應(yīng)上升逸绎,當(dāng)大部分攻擊者無法持續(xù)而選擇放棄,那防御就算成功了隧哮。也因此我們需要明白,防御措施座舍、抗D服務(wù)等都只是一種“緩解”療法沮翔,而不是一種“治愈”方案,我們談防御是通過相應(yīng)的舉措來減少DDoS攻擊對(duì)企業(yè)業(yè)務(wù)的影響曲秉,而不是徹底根除DDoS攻擊采蚀。
基于以上,我們將從三個(gè)方面(網(wǎng)絡(luò)設(shè)施承二、防御方案榆鼠、預(yù)防手段)來談?wù)劦钟鵇DoS攻擊的一些基本措施、防御思想及服務(wù)方案亥鸠。
一.網(wǎng)絡(luò)設(shè)備設(shè)施
網(wǎng)絡(luò)架構(gòu)妆够、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ),用足夠的機(jī)器负蚊、容量去承受攻擊神妹,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略,說到底攻防也是雙方資源的比拼家妆,在它不斷訪問用戶鸵荠、奪取用戶資源之時(shí),自己的能量也在逐漸耗失伤极。相應(yīng)地蛹找,投入資金也不小,但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)哨坪,需要根據(jù)自身情況做出平衡的選擇庸疾。
1.擴(kuò)充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力,國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M当编,知名企業(yè)帶寬能超過1G彼硫,超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站,數(shù)量屈指可數(shù)。但DDoS卻不同拧篮,攻擊者通過控制一些服務(wù)器词渤、個(gè)人電腦等成為肉雞,如果控制1000臺(tái)機(jī)器串绩,每臺(tái)帶寬為10M缺虐,那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊礁凡,帶寬瞬間就被占滿了高氮。增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了顷牌,但成本也是難以承受之痛剪芍,國(guó)內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月,買10G帶寬頂一下就是100萬窟蓝,因此許多人調(diào)侃拼帶寬就是拼人民幣罪裹,以至于很少有人愿意花高價(jià)買大帶寬做防御。
2.使用硬件防火墻
許多人會(huì)考慮使用硬件防火墻运挫,針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過對(duì)異常流量的清洗過濾状共,可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊谁帕、刷腳本攻擊等等流量型DDoS攻擊峡继。如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房匈挖。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防碾牌,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住儡循。值得注意一下小染,部分硬件防火墻基于包過濾型防火墻修改為主,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包贮折,若是DDoS攻擊上升到應(yīng)用層裤翩,防御能力就比較弱了。
3.選用高性能設(shè)備
除了防火墻调榄,服務(wù)器踊赠、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上每庆,若是設(shè)備性能成為瓶頸筐带,即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下缤灵,應(yīng)該盡量提升硬件配置伦籍。
二蓝晒、有效的抗D思想及方案
硬碰硬的防御偏于“魯莽”,通過架構(gòu)布局帖鸦、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力芝薇、分?jǐn)偩植窟^載的流量,通過接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”作儿,而且對(duì)抗效果良好洛二。
4.負(fù)載均衡
普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個(gè)鏈接請(qǐng)求,網(wǎng)絡(luò)處理能力很受限制攻锰。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上晾嘶,它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量娶吞、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力垒迂、提高網(wǎng)絡(luò)的靈活性和可用性,對(duì)DDoS流量攻擊和CC攻擊都很見效妒蛇。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載机断,而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后材部,鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上毫缆,減少單個(gè)服務(wù)器的負(fù)擔(dān)唯竹,整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請(qǐng)求乐导,用戶訪問速度也會(huì)加快。
5. CDN流量清洗
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)浸颓,依靠部署在各地的邊緣服務(wù)器物臂,通過中心平臺(tái)的分發(fā)、調(diào)度等功能模塊产上,使用戶就近獲取所需內(nèi)容棵磷,降低網(wǎng)絡(luò)擁塞,提高用戶訪問響應(yīng)速度和命中率晋涣,因此CDN加速也用到了負(fù)載均衡技術(shù)仪媒。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智谢鹊,多節(jié)點(diǎn)分擔(dān)滲透流量算吩,目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,再加上硬防的防護(hù)佃扼,可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了偎巢。
6.分布式集群防御
分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址,并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊兼耀,如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)压昼,系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)求冷,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài)窍霞,從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策匠题。
三.預(yù)防為主保安全
DDoS的發(fā)生可能永遠(yuǎn)都無法預(yù)知,而一來就兇猛如洪水決堤官撼,因此網(wǎng)站的預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要梧躺。通過日常慣性的運(yùn)維操作讓系統(tǒng)健壯穩(wěn)固,沒有漏洞可鉆傲绣,降低脆弱服務(wù)被攻陷的可能掠哥,將攻擊帶來的損失降低到最小。
7.篩查系統(tǒng)漏洞
及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞秃诵,及時(shí)安裝系統(tǒng)補(bǔ)丁续搀,對(duì)重要信息(如系統(tǒng)配置信息)建立和完善備份機(jī)制,對(duì)一些特權(quán)賬號(hào)(如管理員賬號(hào))的密碼謹(jǐn)慎設(shè)置菠净,通過一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小禁舷。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn),幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁毅往。統(tǒng)計(jì)分析顯示牵咙,許多攻擊者在對(duì)企業(yè)的攻擊中獲得很大成功,并不是因?yàn)楣粽叩墓ぞ吆图夹g(shù)如何高級(jí)攀唯,而是因?yàn)樗麄兯舻幕A(chǔ)架構(gòu)本身就漏洞百出洁桌。
8.系統(tǒng)資源優(yōu)化
合理優(yōu)化系統(tǒng),避免系統(tǒng)資源的浪費(fèi)侯嘀,盡可能減少計(jì)算機(jī)執(zhí)行少的進(jìn)程另凌,更改工作模式,刪除不必要的中斷讓機(jī)器運(yùn)行更有效戒幔,優(yōu)化文件位置使數(shù)據(jù)讀寫更快吠谢,空出更多的系統(tǒng)資源供用戶支配,以及減少不必要的系統(tǒng)加載項(xiàng)及自啟動(dòng)項(xiàng)诗茎,提高web服務(wù)器的負(fù)載能力工坊。
9.過濾不必要的服務(wù)和端口
就像防賊就要把多余的門窗關(guān)好封住一樣,為了減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會(huì)敢订,禁止未用的服務(wù)王污,將開放端口的數(shù)量最小化就十分重要。端口過濾模塊通過開放或關(guān)閉一些端口枢析,允許用戶使用或禁止使用部分服務(wù)玉掸,對(duì)數(shù)據(jù)包進(jìn)行過濾,分析端口醒叁,判斷是否為允許數(shù)據(jù)通信的端口司浪,然后做相應(yīng)的處理泊业。
10.限制特定的流量
檢查訪問來源并做適當(dāng)?shù)南拗疲苑乐巩惓0∫住阂獾牧髁縼硪u吁伺,限制特定的流量,主動(dòng)保護(hù)網(wǎng)站安全租谈。
對(duì)抗DDoS攻擊是一個(gè)涉及很多層面的問題篮奄,抗DDoS需要的不僅僅是一個(gè)防御方案,一個(gè)設(shè)備割去,更是一個(gè)能制動(dòng)的團(tuán)隊(duì)窟却,一個(gè)有效的機(jī)制。我們都聽過一句話——god helps those who help themselves. 天助自助者呻逆。因此夸赫,面對(duì)攻擊大家需要具備安全意識(shí),完善自身的安全防護(hù)體系才是正解咖城。隨著互聯(lián)網(wǎng)業(yè)務(wù)的越發(fā)豐富茬腿,可以預(yù)見DDoS攻擊還會(huì)大幅度增長(zhǎng),攻擊手段也會(huì)越來越復(fù)雜多樣宜雀。安全是一項(xiàng)長(zhǎng)期持續(xù)性的工作切平,需要時(shí)刻保持一種警覺,更需要全社會(huì)的共同努力辐董。
最后再說一句(打個(gè)廣告)
要防御DDoS攻擊悴品,請(qǐng)找我們杭州超級(jí)盾,因?yàn)槲覀兪菍I(yè)的郎哭,能給你最安心的保護(hù)他匪,歡迎免費(fèi)試用喲~
海量DDoS清洗菇存、超過1個(gè)Tb的防御能力夸研、全業(yè)務(wù)支持、無上限CC攻擊防護(hù)
