5522 
2023-06-28 09:55:01 分布式拒絕服務攻擊是一種協同攻擊,旨在使受害者的資源無法使用。如何有效防御DDOS攻擊成為大家關注的話題。DDoS攻擊可能持續幾分鐘、幾小時、甚至是幾天。今天快快網絡小編就跟大家講解下如何解決DDOS攻擊。
如何有效防御DDOS攻擊?
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網站做成靜態頁面或者偽靜態
事實證明,將網站做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現。現在很多門戶網站主要都是靜態頁面,若你非要動態腳本調用,那就把它弄到另外一個單獨主機,免的遭受攻擊時連累主服務器。當然,適當放一些不做數據庫調用腳本還是可以的,此外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬于惡意行為。
6、增強操作系統的TCP/IP棧
win2000和win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數百個。
如何解決DDOS攻擊?
Dos拒絕服務攻擊是通過各種手段消耗網絡帶寬和系統CPU、內存、連接數等資源,直接造成網絡帶寬耗盡或系統資源耗盡,使得該目標系統無法為正常用戶提供業務服務,從而導致拒絕服務。常規流量型的DDos攻擊應急防護方式因其選擇的引流技術不同而在實現上有不同的差異性,主要分為以下三種方式,實現分層清洗的效果。
1. 本地DDos防護設備
一般惡意組織發起DDos攻擊時,率先感知并起作用的一般為本地數據中心內的DDos防護設備,金融機構本地防護設備較多采用旁路鏡像部署方式。本地DDos防護設備一般分為DDos檢測設備、清洗設備和管理中心。首先,DDos檢測設備日常通過流量基線自學習方式,按各種和防御有關的維度。
由管理中心下發引流策略到清洗設備,啟動引流清洗。異常流量清洗通過特征、基線、回復確認等各種方式對攻擊流量進行識別、清洗。經過異常流量清洗之后,為防止流量再次引流至DDos清洗設備,可通過在出口設備回注接口上使用策略路由強制回注的流量去往數據中心內部網絡,訪問目標系統。
2. 運營商清洗服務
當流量型攻擊的攻擊流量超出互聯網鏈路帶寬或本地DDos清洗設備性能不足以應對DDos流量攻擊時,需要通過運營商清洗服務或借助運營商臨時增加帶寬來完成攻擊流量的清洗。運營商通過各級DDos防護設備以清洗服務的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明,運營商清洗服務在應對流量型DDos攻擊時較為有效。
3. 云清洗服務
當運營商DDos流量清洗不能實現既定效果的情況下,可以考慮緊急啟用運營商云清洗服務來進行最后的對決。依托運營商骨干網分布式部署的異常流量清洗中心,實現分布式近源清洗技術,在運營商骨干網絡上靠近攻擊源的地方把流量清洗掉,提升攻擊對抗能力。
具備適用場景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實現引流、清洗、回注,提升抗D能力。進行這類清洗需要較大的流量路徑改動,牽涉面較大,一般不建議作為日常常規防御手段。
如何有效防御DDOS攻擊是保障網絡和服務器安全的重要措施,雖然不可能完全阻止DDoS攻擊的發生,但有一些有效的做法可以幫助你檢測和停止正在進行的DDoS攻擊。做好相應的防護措施能把傷害減少到最小。
