如何防禦DDOS攻擊 DDOS攻擊是什麼意思
我是艾西,從業多年伺服器機房網際網路行業相信很多小夥伴對于網絡攻擊還是有比較模糊的認識與了解,畢竟不是從事這這一行業的人還是很少遇到這些事情。今天艾西就用一篇文章讓大家知道什麼是DDOS攻擊、DDOS攻擊是什麼意思、怎麼防禦DDOS攻擊?
DDoS攻擊的類型和方法
分布式拒絕服務攻擊(簡稱DDoS)是一種協同攻擊,指在使受害者的資源無法使用。它可以由某個組織協同行動,也可以借助連接配接到網際網路的多個受破壞裝置來執行。這些在攻擊者控制下的裝置通常稱為僵屍網絡。有多種執行DDoS攻擊的工具:例如Trinoo,Stacheldraht,Shaft,Knight,Mstream等。這些工具的可用性是DDoS攻擊如此廣泛和流行的原因之一。
DDoS攻擊可以持續數百小時DDoS攻擊可能持續幾分鐘、幾小時、甚至是幾天。
發起DDoS攻擊有兩種常見方法:
利用軟體漏洞:可以針對已知和未知軟體漏洞,并發送格式錯誤的資料包,以試圖破壞受害者的系統。
消耗計算或通信資源:可以發送大量合法的資料包,進而消耗受害者的網絡帶寬、CPU或記憶體,直到目标系統無法再處理來自合法使用者的任何請求。
雖然沒有标準的DDoS攻擊分類,但我們可以将其分為四大類:
容量耗盡攻擊、 協定攻擊、 應用程式攻擊、 0 day漏洞DDoS攻擊
容量耗盡攻擊:通常借助僵屍網絡和放大技術,通過向終端資源注入大量流量來阻止對終端資源的通路。最常見的容量耗盡攻擊類型有UDP洪水攻擊。HK發送使用者資料報協定(UDP)包僞造受害者的源位址到随機端口。主機生成大量的回複流量并将其發送回受害者。ICMP洪水攻擊。HK使用大量的網際網路控制消息協定(ICMP)請求或ping指令,試圖耗盡受害者的伺服器帶寬。
協定攻擊:協定攻擊針對的是協定工作方式的漏洞,這是第二大最常見的攻擊媒介。最常見的協定攻擊類型有:SYN洪水攻擊利用了三向握手TCP機制的漏洞。用戶端将SYN資料包發送到伺服器,接收SYN-ACK資料包,并且永遠不會将ACK資料包發送回主機。是以,受害者的伺服器留下了許多未完成的SYN-ACK請求,并最終導緻崩潰。死亡之Ping攻擊–使用簡單的Ping指令發送超大資料包,進而導緻受害者的系統當機或崩潰。
應用程式攻擊:利用協定棧中的漏洞,針對特定的應用程式而不是整個伺服器。它們通常針對公共端口和服務,如DNS或HTTP。最常見的應用程式攻擊有:HTTP洪水攻擊用大量的标準GET和POST請求淹沒應用程式或web伺服器。由于這些請求通常顯示為合法流量,是以檢測HTTP洪水攻擊是一個相當大的挑戰。Slowloris流量緩慢地使受害者的伺服器崩潰。攻擊者按時間間隔和一小部分向受害者的伺服器發送HTTP請求。伺服器一直在等待這些請求完成,但永遠不會發生。最終,這些未完成的請求耗盡了受害者的帶寬,使合法使用者無法通路伺服器。
0 day漏洞DDoS攻擊:0 day漏洞DDoS攻擊。他們利用尚未修補的未知軟體漏洞或使用不常見的攻擊媒介,是以更加難以檢測和防禦。
檢測DDoS攻擊
雖然不可能完全阻止DDoS攻擊的發生,但有一些有效的做法可以幫助你檢測和停止正在進行的DDoS攻擊。異常檢測:統計模型和機器學習算法(例如神經網絡,決策樹和近鄰算法)可用于分析網絡流量并将流量模式分類為正常或DDoS攻擊。網絡性能因素中的異常,例如裝置CPU使用率或帶寬使用情況。
基于知識的方法:使用諸如特征碼分析、狀态轉換分析、專家系統、描述腳本和自組織映射等方法,通過将流量與已知攻擊的特定模式進行比較來檢測DDoS。
ACL和防火牆規則:除了入口/出口流量過濾之外,通路控制清單(ACL)和防火牆規則可用于增強流量可見性。分析ACL日志,以了解通過網絡運作的流量類型。根據特定的規則、簽名和模式配置web應用程式防火牆來阻止可疑的傳入流量。入侵防禦和檢測系統警報:入侵防禦系統(IPS)和入侵檢測系統(IDS)提供了額外的流量可見性
到這裡我相信我所說的東西大家會覺得很深奧難以了解,這也是屬于正常情況我相信從事網絡安全的小夥伴還是能了解的,說了那麼多其實我們主要還是要知道如果防禦DDOS這才是大家最關心的問題以及所考慮的問題。很多企業都遭遇過HK的DDoS攻擊,導緻資源枯竭,服務、應用程式或網站崩潰。
面對 DDOS 防禦辦法有以下這些:
全面綜合地設計網絡的安全體系,注意所使用的安全産品和網絡裝置。
提高網絡管理人員的素質,關注安全資訊,遵從有關安全措施,及時地更新系統,加強系統抗擊攻擊的能力。
在系統中加裝防火牆系統,利用防火牆系統對所有出入的資料包進行過濾,檢查邊界安全規則,確定輸出的包受到正确限制。
優化路由及網絡結構。對路由器進行合理設定,降低攻擊的可能性。
優化對外提供服務的主機,對所有在網上提供公開服務的主機都加以限制。
安裝入侵檢測工具 (如 NIPC、NGREP),經常掃描檢查系統,解決系統的漏洞,對系統檔案和應用程式進行加密,并定期檢查這些檔案的變化。
如果想自己建立有效防護DDoS攻擊的解決方案,還是要為Web應用程式尋找商業化的DDoS攻擊防護系統,都要牢記以下一些基本系統要求:混合DDoS檢測方法、 防禦3–4級和6–7級攻擊、 有效的流量過濾、 SIEM內建。
如果滿足這些要求對你來說太難了,那麼考慮向專家尋求幫助。他們對網絡安全、雲服務和web應用程式有深入的了解,才能建構高品質的DDoS防禦解決方案。
限制漏洞數量:除非迫不得已,否則不要公開你的應用程式和資源。這樣可以限制攻擊者可能針對的基礎架構中的漏洞數量。還可以禁止将網際網路流量直接發送到資料庫伺服器和基礎結構的其他關鍵部分。
擴充負載:考慮使用負載平衡器和内容分發網絡(CDN),通過平衡資源負載來減輕攻擊的影響,這樣即使在攻擊期間也可以保持線上。
仔細選擇你的伺服器機房供應商:尋找一個值得信賴的伺服器機房供應商,他們的政策可檢測和緩解基于協定,基于卷和應用程式級别的攻擊。
有效且最直接的防護手段
租用超大帶寬硬扛:一般來說DDOS攻擊能夠輕松達到10G左右的流量,以大帶寬的流量通路去把大流量的請求接受或淹沒掉,
硬體防禦:使用硬體防火牆,對DDOS攻擊的異常流量進行清洗。不過這種辦法隻能針對SYN/ACK攻擊、TCP全連接配接攻擊、刷腳本攻擊等等流量型DDoS攻擊。
分布式叢集防禦技術:這種防禦本質上是将網站系統分布式部署在不同地點不同IP的伺服器上,分散攻擊者的攻擊流量。比如現在的網絡巨頭,他們的伺服器都是部署在全國各地的,每個地方都有規模龐大的伺服器叢集,每個叢集的防禦能力都在100G以上這就是為何從未發生過網際網路巨頭的網站被攻擊事件的原因。
高防CDN:CDN的英文全名是内容分發網絡。通過部署在網絡上不同地方的邊緣節點伺服器,能夠讓使用者以最短的距離和時間獲得其需要的内容,進而避免單節點帶來的網絡擁堵和資訊延遲。正是因為CDN在全網都能布置節點,并且可以隐藏原伺服器IP位址的功能,CDN除了可以用來加速網絡服務外,還能用來當高防伺服器IP使用。
馳網機房定制伺服器高防T5級機房,專門針對流量型DDoS攻擊和資源耗盡型DDoS攻擊(CC攻擊)進行雲上清洗和過濾,為使用者提供專業可靠、精準有效的DDoS安全防護,最大程度保障使用者的網絡安全和業務正常穩定運作。全球多節點部署分布式防禦,單個資料中心機房具備2.4TDDoS防禦能力
我是艾西,今天的分享就到這裡啦希望對有需要的小夥伴有幫助,跟着艾西了解更多關于網絡流量伺服器知識。
攜手馳網為您在網絡道路上保駕護航