2782 
2023-05-20 10:55:02 在互聯(lián)網(wǎng)時(shí)代最難把控的就是DDoS攻擊,為什么防御DDOS攻擊非常困難呢?在沒(méi)有準(zhǔn)備好的情況下,當(dāng)你反應(yīng)過(guò)來(lái)的時(shí)候已經(jīng)遭到攻擊和破壞了。如何辨別是否是網(wǎng)絡(luò)DDoS攻擊?今天就跟著快快網(wǎng)絡(luò)小編一起來(lái)學(xué)習(xí)下關(guān)于DDoS攻擊的相關(guān)知識(shí)。
遭到大流量DDoS攻擊如何清洗?
1.本地DDos防護(hù)設(shè)備
一般惡意組織發(fā)起DDos攻擊時(shí),率先感知并起作用的一般為本地?cái)?shù)據(jù)中心內(nèi)的DDos防護(hù)設(shè)備,金融機(jī)構(gòu)本地防護(hù)設(shè)備較多采用旁路鏡像部署方式。
本地DDos防護(hù)設(shè)備一般分為DDos檢測(cè)設(shè)備、清洗設(shè)備和管理中心。首先,DDos檢測(cè)設(shè)備日常通過(guò)流量基線自學(xué)習(xí)方式,按各種和防御有關(guān)的維度:比如syn報(bào)文速率、http訪問(wèn)速率等進(jìn)行統(tǒng)計(jì),形成流量模型基線,從而生成防御閾值。
學(xué)習(xí)結(jié)束后繼續(xù)按基線學(xué)習(xí)的維度做流量統(tǒng)計(jì),并將每一秒鐘的統(tǒng)計(jì)結(jié)果和防御閾值進(jìn)行比較,超過(guò)則認(rèn)為有異常,通告管理中心。由管理中心下發(fā)引流策略到清洗設(shè)備,啟動(dòng)引流清洗。異常流量清洗通過(guò)特征、基線、回復(fù)確認(rèn)等各種方式對(duì)攻擊流量進(jìn)行識(shí)別、清洗。
經(jīng)過(guò)異常流量清洗之后,為防止流量再次引流至DDos清洗設(shè)備,可通過(guò)在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò),訪問(wèn)目標(biāo)系統(tǒng)。
2.運(yùn)營(yíng)商清洗服務(wù)
當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對(duì)DDos流量攻擊時(shí),需要通過(guò)運(yùn)營(yíng)商清洗服務(wù)或借助運(yùn)營(yíng)商臨時(shí)增加帶寬來(lái)完成攻擊流量的清洗。運(yùn)營(yíng)商通過(guò)各級(jí)DDos防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實(shí)踐證明,運(yùn)營(yíng)商清洗服務(wù)在應(yīng)對(duì)流量型DDos攻擊時(shí)較為有效。
3.云清洗服務(wù)
當(dāng)運(yùn)營(yíng)商DDos流量清洗不能實(shí)現(xiàn)既定效果的情況下,可以考慮緊急啟用運(yùn)營(yíng)商云清洗服務(wù)來(lái)進(jìn)行最后的對(duì)決。依托運(yùn)營(yíng)商骨干網(wǎng)分布式部署的異常流量清洗中心,實(shí)現(xiàn)分布式近源清洗技術(shù),在運(yùn)營(yíng)商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉,提升攻擊對(duì)抗能力。
具備適用場(chǎng)景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實(shí)現(xiàn)引流、清洗、回注,提升抗D能力。進(jìn)行這類清洗需要較大的流量路徑改動(dòng),牽涉面較大,一般不建議作為日常常規(guī)防御手段。
以上三種防御方式存在共同的缺點(diǎn),由于本地DDos防護(hù)設(shè)備及運(yùn)營(yíng)商均不具備HTTPS加密流量解碼能力,導(dǎo)致針對(duì)HTTPS流量的防護(hù)能力有限;同時(shí)由于運(yùn)營(yíng)商清洗服務(wù)多是基于Flow的方式檢測(cè)DDos攻擊,且策略的顆粒度往往較粗,因此針對(duì)CC或HTTP慢速等應(yīng)用層特征的DDos攻擊類型檢測(cè)效果往往不夠理想。對(duì)比三種方式的不同適用場(chǎng)景,發(fā)現(xiàn)單一解決方案不能完成所有DDos攻擊清洗,因?yàn)榇蠖鄶?shù)真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊類型)。
比如:以大流量反射做背景,期間混入一些CC和連接耗盡,以及慢速攻擊。這時(shí)很有可能需要運(yùn)營(yíng)商清洗(針對(duì)流量型的攻擊)先把80%以上的流量清洗掉,把鏈路帶寬清出來(lái);在剩下的20%里很有可能還有80%是攻擊流量(類似CC攻擊、HTTP慢速攻擊等),那么就需要本地配合進(jìn)一步進(jìn)行清洗。
為什么防御DDOS攻擊非常困難?
如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因?yàn)樵谠緵](méi)有準(zhǔn)備好的情況下有大流量的災(zāi)難性攻擊沖向用戶,很可能在用戶還沒(méi)回過(guò)神之際,網(wǎng)絡(luò)已經(jīng)癱瘓。但是,用戶還是可以抓住機(jī)會(huì)尋求一線希望的。
1.檢查攻擊來(lái)源,通常駭客會(huì)通過(guò)很多假I(mǎi)P地址發(fā)起攻擊,此時(shí),用戶若能夠分辨出哪些是真IP哪些是假I(mǎi)P地址,然后了解這些IP來(lái)自哪些網(wǎng)段,再找網(wǎng)絡(luò)管理員將這些機(jī)器關(guān)閉,從而在第一時(shí)間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來(lái)自外面的而不是公司內(nèi)部的IP的話,可以采取臨時(shí)過(guò)濾的方法,將這些IP地址在服務(wù)器或路由器上過(guò)濾掉。
2.找出攻擊者所經(jīng)過(guò)的路由,把攻擊屏蔽掉。若駭客從某些端口發(fā)動(dòng)攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過(guò)此方法對(duì)于公司網(wǎng)絡(luò)出口只有一個(gè),而又遭受到來(lái)自外部的DdoS攻擊時(shí)不太奏效,畢竟將出口端口封閉后所有計(jì)算機(jī)都無(wú)法訪問(wèn)internet了。
3.最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時(shí)他無(wú)法完全消除入侵,但是過(guò)濾掉ICMP后可以有效的防止攻擊規(guī)模的升級(jí),也可以在一定程度上降低攻擊的級(jí)別。
4.要用360安全衛(wèi)士之類的東東定期掃描,清查可能存在的安全漏洞,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。"
如何辨別是否是網(wǎng)絡(luò)DDoS攻擊?
1、服務(wù)器連接不到,網(wǎng)站也打不開(kāi)
如果網(wǎng)站服務(wù)器被大量DDoS攻擊時(shí),有可能會(huì)造成服務(wù)器藍(lán)屏或者死機(jī),這時(shí)就意味著服務(wù)器已經(jīng)連接不上了,網(wǎng)站出現(xiàn)連接錯(cuò)誤的情況。
2、服務(wù)器CPU被大量占用
DDoS攻擊其實(shí)是一種惡意性的資源占用攻擊,攻擊者利用肉雞或者攻擊軟件對(duì)目標(biāo)服務(wù)器發(fā)送大量的無(wú)效請(qǐng)求,導(dǎo)致服務(wù)器的資源被大量的占用,因而正常的進(jìn)程沒(méi)有得到有效的處理,這樣網(wǎng)站就會(huì)出現(xiàn)打開(kāi)緩慢的情況。如果服務(wù)器某段時(shí)期能突然出現(xiàn)CPU占用率過(guò)高,那么就可能是網(wǎng)站受到CC攻擊影響。
3、服務(wù)器帶寬被大量占用
占用帶寬資源通常是DDoS攻擊的一個(gè)主要手段,畢竟對(duì)很多小型企業(yè)或者個(gè)人網(wǎng)站來(lái)說(shuō),帶寬的資源可以說(shuō)非常有限,網(wǎng)絡(luò)的帶寬被大量無(wú)效數(shù)據(jù)給占據(jù)時(shí),正常流量數(shù)據(jù)請(qǐng)求很很難被服務(wù)器進(jìn)行處理。如果服務(wù)器上行帶寬占用率達(dá)到90%以上時(shí),那么你的網(wǎng)站通常出現(xiàn)被DDoS攻擊的可能。
4、域名ping不出IP
域名ping不出IP這種情況站長(zhǎng)們可能會(huì)比較少考慮到,這其實(shí)也是DDoS攻擊的一種表現(xiàn),只是攻擊著所針對(duì)的攻擊目標(biāo)是網(wǎng)站的DNS域名服務(wù)器。在出現(xiàn)這種攻擊時(shí),ping服務(wù)器的IP是正常聯(lián)通的,但是網(wǎng)站就是不能正常打開(kāi),并且在ping域名時(shí)會(huì)出現(xiàn)無(wú)法正常ping通的情況。
如果經(jīng)常發(fā)生DDoS攻擊,對(duì)于網(wǎng)站來(lái)說(shuō)是比較危險(xiǎn)的,因此要重視DDOS攻擊。為什么防御DDOS攻擊非常困難?防御DDoS攻擊,要做到提前進(jìn)行防備,如果在沒(méi)有任何措施的情況下遭到攻擊的話是來(lái)不及做出反應(yīng)的。
