5905 
2023-05-17 11:57:01 分布式拒絕服務(wù)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。DDOS防御方案為大家解決DDOS攻擊的煩惱,服務(wù)器被ddos攻擊和CC攻擊怎么解決?那就要仔細(xì)閱讀下以下內(nèi)容了。
DDOS防御方案
DDOS攻擊防御方法一:需要能夠進(jìn)行定期的掃描。
DDOS攻擊防御方法二:需要能夠在骨干節(jié)點(diǎn)配置相關(guān)防火墻。
DDOS攻擊防御方法三:使用多的計算機(jī)以能承受ddos攻擊。
DDOS攻擊防御方法四:好的利用網(wǎng)絡(luò)設(shè)備來進(jìn)行保護(hù)網(wǎng)絡(luò)資源。
DDOS攻擊防御方法五:需要過濾不必要的服務(wù)和端口。
那些年,DDoS的那些反擊滲透的事情。
DDo(Distributed Denial of Service),即分布式拒絕服務(wù)攻擊,是指黑客通過控制由多個肉雞或服務(wù)器組成的僵尸網(wǎng)絡(luò),向目標(biāo)發(fā)送大量看似合法的請求,從而占用大量網(wǎng)絡(luò)資源使網(wǎng)絡(luò)癱瘓,阻止用戶對網(wǎng)絡(luò)資源的正常訪問。
從各安全廠商的DDoS分析報告不難看出,DDoS攻擊的規(guī)模及趨勢正在成倍增長。由于攻擊的成本不斷降低,技術(shù)門檻要求越來越低,攻擊工具的肆意傳播,互聯(lián)網(wǎng)上隨處可見成群的肉雞,使發(fā)動一起DDoS攻擊變得輕而易舉。
DDoS攻擊技術(shù)包括:常見的流量直接攻擊(如SYN/ACK/ICMP/UDP FLOOD),利用特定應(yīng)用或協(xié)議進(jìn)行反射型的流量攻擊(如,NTP/DNS/SSDP反射攻擊,2018年2月28日GitHub所遭受的Memcached反射攻擊),基于應(yīng)用的CC、慢速HTTP等。關(guān)于這些攻擊技術(shù)的原理及利用工具網(wǎng)上有大量的資源,不再贅述。
CDN技術(shù)的初衷是為了提高互聯(lián)網(wǎng)用戶對靜態(tài)網(wǎng)站的訪問速度,但是由于分布式、就近訪問的特點(diǎn),能對攻擊流量進(jìn)行稀釋,因此,一些傳統(tǒng)CDN廠商除了提供云加速功能外,也開始推出云清洗的服務(wù),當(dāng)然還有一些安全公司基于其自身優(yōu)勢進(jìn)入云清洗市場。基本原理都一樣,需要先在云端配置好相應(yīng)的記錄,當(dāng)企業(yè)遭受大規(guī)模攻擊時,通過修改其DNS記錄將要保護(hù)的域名CNAME到云端事先配好的記錄上,等待DNS生效即可。
1.自動化平臺
金融企業(yè)由于高可用要求,往往會有多個數(shù)據(jù)中心,一個數(shù)據(jù)中心還會接入多家運(yùn)營商線路,通過廣域網(wǎng)負(fù)載均衡系統(tǒng)對用戶的訪問進(jìn)行調(diào)度,使之訪問到最近最優(yōu)的資源。當(dāng)任何一條接入線路存在DDoS攻擊時,能通過廣域網(wǎng)負(fù)載均衡系統(tǒng)將該線路上的訪問需求轉(zhuǎn)移至其他互聯(lián)網(wǎng)線路。在針對IP地址開展的DDoS攻擊中,此方案能夠有效保障正常客戶的訪問不受影響,為了實(shí)現(xiàn)快速切換,需要通過自動化運(yùn)維平臺來實(shí)現(xiàn),如圖18-2所示。
線路調(diào)整一鍵應(yīng)急配合必要的應(yīng)知應(yīng)會學(xué)習(xí)和應(yīng)急演練,使團(tuán)隊(duì)成員都能快速掌握方法,在事件發(fā)生第一時間進(jìn)行切換,將影響降到最小。接下來才是通知運(yùn)營商進(jìn)行清洗處理,等待流量恢復(fù)正常后再進(jìn)行回切。
當(dāng)某一個業(yè)務(wù)的IP受到攻擊時,可以針對性地處置,比如一鍵停用,讓正常用戶訪問其他IP;也可以一鍵開啟清洗服務(wù)。
2.設(shè)備抗D能力
除了ADS設(shè)備外,還有一些設(shè)備也需要關(guān)注抗DDoS能力,包括防火墻、負(fù)載均衡設(shè)備等。
出于安全可控需求,金融企業(yè)往往會采用異構(gòu)模式部署防火墻,比如最外層用產(chǎn)品A,里面可能會用產(chǎn)品B。假如產(chǎn)品A的抗DDoS能力差,在發(fā)生攻擊時,可能還沒等到ADS設(shè)備清洗,產(chǎn)品A已經(jīng)出問題了,比如發(fā)生了HA切換或者無法再處理新的連接等。
請求經(jīng)過防火墻和負(fù)載均衡,最后到了目標(biāo)機(jī)器上處理的時候,也需要關(guān)注。系統(tǒng)的性能調(diào)優(yōu)設(shè)置、Nginx的性能參數(shù)調(diào)整以及限制連接模塊配置等,都是在實(shí)際工作中會涉及的。
3.應(yīng)急演練
部署好產(chǎn)品,開發(fā)好自動化運(yùn)維平臺,還要配合必要的應(yīng)知應(yīng)會、應(yīng)急演練才行。因?yàn)榻鹑谛袠I(yè)的特殊性,DDoS攻擊發(fā)生的次數(shù)相比互聯(lián)網(wǎng)行業(yè)還是少很多的,有的企業(yè)可能幾年也碰不到一次。時間久了技能就生疏了,真正需要用到時,可能連登錄設(shè)備的賬號口令都忘了,又或者需要現(xiàn)場接線的連設(shè)備都找不到,那就太糟糕了。
此外,采購的外圍的監(jiān)控服務(wù)、運(yùn)營商和云清洗產(chǎn)品的服務(wù)能力也需要通過演練來檢驗(yàn)有效性。簽訂合同時承諾的秒級發(fā)現(xiàn)、分鐘級響應(yīng)是否經(jīng)得起考驗(yàn),要先在心里打上一個問號。建議在不事先通知的情況下進(jìn)行演練,觀察這中間的問題并做好記錄,待演練完成后一并提交給服務(wù)商要求整改。這樣的演練每年要不定期組織幾次。
服務(wù)器被ddos攻擊和CC攻擊怎么解決?
最近隨著業(yè)務(wù)的爆發(fā),很多客戶都遭到大大小小的ddos攻擊和CC攻擊,攻擊手法的不斷進(jìn)化以及攻擊工具的肆意傳播,使得攻擊成本的不斷降低,互聯(lián)網(wǎng)類業(yè)務(wù)遭受到的威脅也在不斷攀升。本文主要結(jié)合銳速云多年網(wǎng)絡(luò)安全運(yùn)維經(jīng)驗(yàn)以及對DDoS的基本理解,淺談DDos攻擊原理和基本防護(hù)思路。
DDoS攻擊主要分為兩大類:DDoS攻擊和CC攻擊
DDoS攻擊主要是通過大流量來快速消耗用戶網(wǎng)絡(luò)帶寬,造成網(wǎng)絡(luò)堵塞服務(wù)器宕機(jī),流量型DDoS又可分為直接型和反射型,直接型主要包括SYN\ACK\ICMP\UDPFLOOD等,反射型主要包括NTP\DNS\SSDP反射FLOOD等。
CC其實(shí)也是DDos攻擊的一種,CC攻擊是通過借助代理服務(wù)器模擬真實(shí)用戶請求,實(shí)現(xiàn)DDOS和偽裝,通過制造大量的后臺數(shù)據(jù)庫查詢動作來攻擊頁面,消耗目標(biāo)資源,造成服務(wù)器宕機(jī)。
1.本地DDos防護(hù)設(shè)備
一般大型企業(yè)都會在本地數(shù)據(jù)中心部署DDos防護(hù)設(shè)備,本地DDos防護(hù)設(shè)備一般分為DDos檢測設(shè)備、清洗設(shè)備和管理中心,防護(hù)效果不錯但成本非常高,一般中小型企業(yè)是承受不了。
2.運(yùn)營商清洗服務(wù)
當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對DDos流量攻擊時,需要通過運(yùn)營商清洗服務(wù)或借助運(yùn)營商臨時增加帶寬來完成攻擊流量的清洗,運(yùn)營商通過各級DDos防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。
3.云清洗服務(wù)
高防CDN是目前互聯(lián)網(wǎng)企業(yè)最常用的防護(hù)方式,通過CNAME接入模式更加方便,只需要在域名解析服務(wù)商處修改一次解析配置即可生效,實(shí)現(xiàn)引流、清洗、回注,提升抗D能力。當(dāng)某條線路的高防IP出現(xiàn)異常時,CNAME可以自動調(diào)度解析到其他可用的線路上去,避免原本解析到該線路的部分業(yè)務(wù)受到影響,保證業(yè)務(wù)的可用性。
4.限制單IP連接數(shù)量
限制單IP連接數(shù)量,降低同一ip攻擊者帶來的危害和影響。
5.降低連接超時時間
降低連接超時時間,及時釋放系統(tǒng)資源應(yīng)對TCP連接資源耗盡類型的CC攻擊。
不過現(xiàn)在的黑客攻擊方式越來越多樣化,往往是DDoS+CC這種復(fù)合型攻擊,靠單一的防DDOS或防CC是不夠的。銳速云通過自主研發(fā)抗DDoS及CC攻擊立體式防御系統(tǒng),全面抵御任何類型的DDoS及CC類型攻擊,最高可防御百W級QPS攻擊及T級DDoS攻擊峰值流量,保障服務(wù)器穩(wěn)定運(yùn)行。
DDOS攻擊的種類復(fù)雜而且也不斷的在衍變,目前的防御也是隨著攻擊方式再增強(qiáng)。DDOS防御方案當(dāng)然也要隨之更新,以上防護(hù)手段可以起到一定的防護(hù)作用。不過大家也要在平時就做好防范的措施,如果遇到攻擊才不會損失慘重。
