7495 
2023-06-16 10:13:02 互聯網的發展雖然方便了大家的生活但是不法分子的攻擊也隨之增加了。怎么防御DDoS攻擊呢?DDOS是目前最強大也是最難防御的攻擊方式之一。這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,所以想要防護ddos攻擊也是比較艱難的。
怎么防御DDoS攻擊?
網絡架構、設施設備是整個系統得以順暢運作的硬件基礎,用足夠的機器、容量去承受攻擊,充分利用網絡設備保護網絡資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失。相應地,投入資金也不小,但網絡設施是一切防御的基礎,需要根據自身情況做出平衡的選擇。
1. 擴充帶寬硬抗
網絡帶寬直接決定了承受攻擊的能力,國內大部分網站帶寬規模在10M到100M,知名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。但DDoS卻不同,攻擊者通過控制一些服務器、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M,那么攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御。
2. 使用硬件防火墻
許多人會考慮使用硬件防火墻,針對DDoS攻擊和黑客入侵而設計的專業級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網站飽受流量攻擊的困擾,可以考慮將網站放到DDoS硬件防火墻機房。但如果網站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網絡層檢查數據包,若是DDoS攻擊上升到應用層,防御能力就比較弱了。
3. 選用高性能設備
除了防火墻,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成為瓶頸,即使帶寬充足也無能為力。在有網絡帶寬保證的前提下,應該盡量提升硬件配置。
ddos攻擊方式有哪些?
流量攻擊
就像快遞服務站 (服務器) 一樣,服務站的門通道 (帶寬) 是有限的,大量的垃圾包裹 (攻擊包) 會突然來到快遞服務站進行快遞。服務站的門通道 (帶寬) 立即被占用,導致正常的包裹 (正常的包) 無法發送到快遞服務站,服務站也無法為正常的包裹提供相應的服務。
資源耗盡攻擊
就像快遞服務站 (服務器) 一樣,服務站的包處理能力是有限的 (CPU、內存等處理能力)。大量的包 (攻擊包) 導致快速服務站滿負荷運行 (CPU、內存和其他滿負荷)。結果是正常的包 (正常包) 到達服務站后,服務站由于工作負荷滿,無法為正常的包提供相應的服務。
TCP 洪水攻擊
我們知道 TCP 需要三次握手來建立連接,而這種攻擊利用 TCP 協議的這個特性來發送大量偽造的 TCP 連接請求,第一個握手包 (SYN 包) 使用假冒的 IP 或 IP 段作為源地址發送大量的請求進行連接,被攻擊的服務器響應第二個握手包 (SYN+ACK 包),因為另一方是假 IP,所以另一方永遠不會收到來自服務器的第二個握手包,也不會響應來自服務器的第三個握手包。導致被攻擊的服務器保持大量 SYN_RECV 狀態為 “半連接”,并在默認情況下重試響應第二個握手包 5 次,TCP 連接隊列滿、資源耗盡 (CPU 滿或內存不足),最終讓正常的業務請求無法連接。
TCP 全連接攻擊
攻擊模式是指許多僵尸主機不斷地與被攻擊的服務器建立大量真實的 TCP 連接,直到服務器的內存等資源被消耗殆盡,導致拒絕服務。這種攻擊的特點是連接是真實的,所以這種攻擊可以繞過一般防火墻的保護來達到攻擊的目的,隨著 5 g 時代,物聯網的發展,物聯網的安全設備遠低于個人電腦,和攻擊者更有可能獲得大量的 “肉雞”, 相信僵尸主機的數量會更大。
反射性攻擊
黑客的攻擊模式依賴于發送被針對服務器攻擊主機的大量的數據包,然后攻擊主機被攻擊服務器時會產生大量的反應,導致攻擊服務器服務癱瘓,無法提供服務。黑客往往選擇那些比請求包大得多的響應包來利用服務,從而能夠以較小的流量換取較大的流量,獲得幾倍甚至幾十倍的放大效果,從而達到四兩撥千斤的目的。
怎么防御DDoS攻擊成為大家熱議的話題,DDOS本是利用合理的請求造成資源過載導致服務不可用,從而造成服務器拒絕正常流量服務。在面對ddos攻擊的時候我們也不是坐以待斃,快快網絡小編給大家整理了幾招防止ddos攻擊的方法大家記得收藏起來。
