5849 
2023-05-17 11:57:01 分布式拒絕服務攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。DDOS防御方案為大家解決DDOS攻擊的煩惱,服務器被ddos攻擊和CC攻擊怎么解決?那就要仔細閱讀下以下內容了。
DDOS防御方案
DDOS攻擊防御方法一:需要能夠進行定期的掃描。
DDOS攻擊防御方法二:需要能夠在骨干節點配置相關防火墻。
DDOS攻擊防御方法三:使用多的計算機以能承受ddos攻擊。
DDOS攻擊防御方法四:好的利用網絡設備來進行保護網絡資源。
DDOS攻擊防御方法五:需要過濾不必要的服務和端口。
那些年,DDoS的那些反擊滲透的事情。
DDo(Distributed Denial of Service),即分布式拒絕服務攻擊,是指黑客通過控制由多個肉雞或服務器組成的僵尸網絡,向目標發送大量看似合法的請求,從而占用大量網絡資源使網絡癱瘓,阻止用戶對網絡資源的正常訪問。
從各安全廠商的DDoS分析報告不難看出,DDoS攻擊的規模及趨勢正在成倍增長。由于攻擊的成本不斷降低,技術門檻要求越來越低,攻擊工具的肆意傳播,互聯網上隨處可見成群的肉雞,使發動一起DDoS攻擊變得輕而易舉。
DDoS攻擊技術包括:常見的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應用或協議進行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基于應用的CC、慢速HTTP等。關于這些攻擊技術的原理及利用工具網上有大量的資源,不再贅述。
CDN技術的初衷是為了提高互聯網用戶對靜態網站的訪問速度,但是由于分布式、就近訪問的特點,能對攻擊流量進行稀釋,因此,一些傳統CDN廠商除了提供云加速功能外,也開始推出云清洗的服務,當然還有一些安全公司基于其自身優勢進入云清洗市場。基本原理都一樣,需要先在云端配置好相應的記錄,當企業遭受大規模攻擊時,通過修改其DNS記錄將要保護的域名CNAME到云端事先配好的記錄上,等待DNS生效即可。
1.自動化平臺
金融企業由于高可用要求,往往會有多個數據中心,一個數據中心還會接入多家運營商線路,通過廣域網負載均衡系統對用戶的訪問進行調度,使之訪問到最近最優的資源。當任何一條接入線路存在DDoS攻擊時,能通過廣域網負載均衡系統將該線路上的訪問需求轉移至其他互聯網線路。在針對IP地址開展的DDoS攻擊中,此方案能夠有效保障正常客戶的訪問不受影響,為了實現快速切換,需要通過自動化運維平臺來實現,如圖18-2所示。
線路調整一鍵應急配合必要的應知應會學習和應急演練,使團隊成員都能快速掌握方法,在事件發生第一時間進行切換,將影響降到最小。接下來才是通知運營商進行清洗處理,等待流量恢復正常后再進行回切。
當某一個業務的IP受到攻擊時,可以針對性地處置,比如一鍵停用,讓正常用戶訪問其他IP;也可以一鍵開啟清洗服務。
2.設備抗D能力
除了ADS設備外,還有一些設備也需要關注抗DDoS能力,包括防火墻、負載均衡設備等。
出于安全可控需求,金融企業往往會采用異構模式部署防火墻,比如最外層用產品A,里面可能會用產品B。假如產品A的抗DDoS能力差,在發生攻擊時,可能還沒等到ADS設備清洗,產品A已經出問題了,比如發生了HA切換或者無法再處理新的連接等。
請求經過防火墻和負載均衡,最后到了目標機器上處理的時候,也需要關注。系統的性能調優設置、Nginx的性能參數調整以及限制連接模塊配置等,都是在實際工作中會涉及的。
3.應急演練
部署好產品,開發好自動化運維平臺,還要配合必要的應知應會、應急演練才行。因為金融行業的特殊性,DDoS攻擊發生的次數相比互聯網行業還是少很多的,有的企業可能幾年也碰不到一次。時間久了技能就生疏了,真正需要用到時,可能連登錄設備的賬號口令都忘了,又或者需要現場接線的連設備都找不到,那就太糟糕了。
此外,采購的外圍的監控服務、運營商和云清洗產品的服務能力也需要通過演練來檢驗有效性。簽訂合同時承諾的秒級發現、分鐘級響應是否經得起考驗,要先在心里打上一個問號。建議在不事先通知的情況下進行演練,觀察這中間的問題并做好記錄,待演練完成后一并提交給服務商要求整改。這樣的演練每年要不定期組織幾次。
服務器被ddos攻擊和CC攻擊怎么解決?
最近隨著業務的爆發,很多客戶都遭到大大小小的ddos攻擊和CC攻擊,攻擊手法的不斷進化以及攻擊工具的肆意傳播,使得攻擊成本的不斷降低,互聯網類業務遭受到的威脅也在不斷攀升。本文主要結合銳速云多年網絡安全運維經驗以及對DDoS的基本理解,淺談DDos攻擊原理和基本防護思路。
DDoS攻擊主要分為兩大類:DDoS攻擊和CC攻擊
DDoS攻擊主要是通過大流量來快速消耗用戶網絡帶寬,造成網絡堵塞服務器宕機,流量型DDoS又可分為直接型和反射型,直接型主要包括SYN\ACK\ICMP\UDPFLOOD等,反射型主要包括NTP\DNS\SSDP反射FLOOD等。
CC其實也是DDos攻擊的一種,CC攻擊是通過借助代理服務器模擬真實用戶請求,實現DDOS和偽裝,通過制造大量的后臺數據庫查詢動作來攻擊頁面,消耗目標資源,造成服務器宕機。
1.本地DDos防護設備
一般大型企業都會在本地數據中心部署DDos防護設備,本地DDos防護設備一般分為DDos檢測設備、清洗設備和管理中心,防護效果不錯但成本非常高,一般中小型企業是承受不了。
2.運營商清洗服務
當流量型攻擊的攻擊流量超出互聯網鏈路帶寬或本地DDos清洗設備性能不足以應對DDos流量攻擊時,需要通過運營商清洗服務或借助運營商臨時增加帶寬來完成攻擊流量的清洗,運營商通過各級DDos防護設備以清洗服務的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。
3.云清洗服務
高防CDN是目前互聯網企業最常用的防護方式,通過CNAME接入模式更加方便,只需要在域名解析服務商處修改一次解析配置即可生效,實現引流、清洗、回注,提升抗D能力。當某條線路的高防IP出現異常時,CNAME可以自動調度解析到其他可用的線路上去,避免原本解析到該線路的部分業務受到影響,保證業務的可用性。
4.限制單IP連接數量
限制單IP連接數量,降低同一ip攻擊者帶來的危害和影響。
5.降低連接超時時間
降低連接超時時間,及時釋放系統資源應對TCP連接資源耗盡類型的CC攻擊。
不過現在的黑客攻擊方式越來越多樣化,往往是DDoS+CC這種復合型攻擊,靠單一的防DDOS或防CC是不夠的。銳速云通過自主研發抗DDoS及CC攻擊立體式防御系統,全面抵御任何類型的DDoS及CC類型攻擊,最高可防御百W級QPS攻擊及T級DDoS攻擊峰值流量,保障服務器穩定運行。
DDOS攻擊的種類復雜而且也不斷的在衍變,目前的防御也是隨著攻擊方式再增強。DDOS防御方案當然也要隨之更新,以上防護手段可以起到一定的防護作用。不過大家也要在平時就做好防范的措施,如果遇到攻擊才不會損失慘重。
