10299 
2023-09-05 09:11:01 DDoS代表分布式拒絕服務(wù)。這是一種網(wǎng)絡(luò)攻擊,旨在使網(wǎng)站脫機(jī)或使其變慢。讓訪問者停止嘗試使用它。通過用惡意流量壓倒網(wǎng)站來實(shí)現(xiàn)這一點(diǎn)。ddos防護(hù)手段有什么呢?如果沒有及時(shí)采取措施抵御ddos攻擊就很容易遭到經(jīng)濟(jì)上的損失。
ddos防護(hù)手段有什么?
過濾不必要的服務(wù)和端口:可以使用 Inexpress、Express、Forwarding 等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假 IP。比如 Cisco 公司的 CEF (Cisco Express Forwarding) 可以針對封包 Source IP 和 Routing Table 做比較,并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如 WWW 服務(wù)器那么只開放 80 而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
異常流量的清洗過濾:通過 DDOS 硬件防火墻對異常流量的清洗過濾,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常,進(jìn)一步將異常流量禁止過濾。單臺(tái)負(fù)載每秒可防御 800-927 萬個(gè) syn 攻擊包。
分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模 DDOS 攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè) IP 地址(負(fù)載均衡),并且每個(gè)節(jié)點(diǎn)能承受不低于 10G 的 DDOS 攻擊,如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
高防智能 DNS 解析:高智能 DNS 解析系統(tǒng)與 DDOS 防御系統(tǒng)的完美結(jié)合,為企業(yè)提供對抗新興安全威脅的超級(jí)檢測功能。它顛覆了傳統(tǒng)一個(gè)域名對應(yīng)一個(gè)鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將 DNS 解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能 DNS 解析系統(tǒng)還有宕機(jī)檢測功能,隨時(shí)可將癱瘓的服務(wù)器 IP 智能更換成正常服務(wù)器 IP,為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。
ddos攻擊常見類型
流量攻擊
就像快遞服務(wù)站 (服務(wù)器) 一樣,服務(wù)站的門通道 (帶寬) 是有限的,大量的垃圾包裹 (攻擊包) 會(huì)突然來到快遞服務(wù)站進(jìn)行快遞。服務(wù)站的門通道 (帶寬) 立即被占用,導(dǎo)致正常的包裹 (正常的包) 無法發(fā)送到快遞服務(wù)站,服務(wù)站也無法為正常的包裹提供相應(yīng)的服務(wù)。
資源耗盡攻擊
就像快遞服務(wù)站 (服務(wù)器) 一樣,服務(wù)站的包處理能力是有限的 (CPU、內(nèi)存等處理能力)。大量的包 (攻擊包) 導(dǎo)致快速服務(wù)站滿負(fù)荷運(yùn)行 (CPU、內(nèi)存和其他滿負(fù)荷)。結(jié)果是正常的包 (正常包) 到達(dá)服務(wù)站后,服務(wù)站由于工作負(fù)荷滿,無法為正常的包提供相應(yīng)的服務(wù)。
TCP 洪水攻擊
我們知道 TCP 需要三次握手來建立連接,而這種攻擊利用 TCP 協(xié)議的這個(gè)特性來發(fā)送大量偽造的 TCP 連接請求,第一個(gè)握手包 (SYN 包) 使用假冒的 IP 或 IP 段作為源地址發(fā)送大量的請求進(jìn)行連接,被攻擊的服務(wù)器響應(yīng)第二個(gè)握手包 (SYN+ACK 包),因?yàn)榱硪环绞羌? IP,所以另一方永遠(yuǎn)不會(huì)收到來自服務(wù)器的第二個(gè)握手包,也不會(huì)響應(yīng)來自服務(wù)器的第三個(gè)握手包。導(dǎo)致被攻擊的服務(wù)器保持大量 SYN_RECV 狀態(tài)為 “半連接”,并在默認(rèn)情況下重試響應(yīng)第二個(gè)握手包 5 次,TCP 連接隊(duì)列滿、資源耗盡 (CPU 滿或內(nèi)存不足),最終讓正常的業(yè)務(wù)請求無法連接。
TCP 全連接攻擊
攻擊模式是指許多僵尸主機(jī)不斷地與被攻擊的服務(wù)器建立大量真實(shí)的 TCP 連接,直到服務(wù)器的內(nèi)存等資源被消耗殆盡,導(dǎo)致拒絕服務(wù)。這種攻擊的特點(diǎn)是連接是真實(shí)的,所以這種攻擊可以繞過一般防火墻的保護(hù)來達(dá)到攻擊的目的,隨著 5 g 時(shí)代,物聯(lián)網(wǎng)的發(fā)展,物聯(lián)網(wǎng)的安全設(shè)備遠(yuǎn)低于個(gè)人電腦,和攻擊者更有可能獲得大量的 “肉雞”, 相信僵尸主機(jī)的數(shù)量會(huì)更大。
反射性攻擊
黑客的攻擊模式依賴于發(fā)送被針對服務(wù)器攻擊主機(jī)的大量的數(shù)據(jù)包,然后攻擊主機(jī)被攻擊服務(wù)器時(shí)會(huì)產(chǎn)生大量的反應(yīng),導(dǎo)致攻擊服務(wù)器服務(wù)癱瘓,無法提供服務(wù)。黑客往往選擇那些比請求包大得多的響應(yīng)包來利用服務(wù),從而能夠以較小的流量換取較大的流量,獲得幾倍甚至幾十倍的放大效果,從而達(dá)到四兩撥千斤的目的。
ddos防護(hù)手段有什么,其實(shí)能夠抵御ddos攻擊的方式還是有很多的,隨著技術(shù)不斷發(fā)展在面對ddos攻擊的時(shí)候我們也能夠做出有效的防御措施。對于企業(yè)來說,提前做好相應(yīng)的防護(hù)措施是非常重要的。
