互联网的发展虽然方便了大家的生活但是不法分子的攻击也随之增加了。怎么防御DDoS攻击呢?DDOS是目前最强大也是最难防御的攻击方式之一。这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,所以想要防护ddos攻击也是比较艰难的。
怎么防御DDoS攻击?
网络架构、设施设备是整个系统得以顺畅运作的硬件基础,用足够的机器、容量去承受攻击,充分利用网络设备保护网络资源是一种较为理想的应对策略,说到底攻防也是双方资源的比拼,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失。相应地,投入资金也不小,但网络设施是一切防御的基础,需要根据自身情况做出平衡的选择。
1. 扩充带宽硬抗
网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站,数量屈指可数。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本也是难以承受之痛,国内非一线城市机房带宽价格大约为100元/M*月,买10G带宽顶一下就是100万,因此许多人调侃拼带宽就是拼人民币,以至于很少有人愿意花高价买大带宽做防御。
2. 使用硬件防火墙
许多人会考虑使用硬件防火墙,针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰,可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围(比如200G的硬防,但攻击流量有300G),洪水瞒过高墙同样抵挡不住。值得注意一下,部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。
3. 选用高性能设备
除了防火墙,服务器、路由器、交换机等网络设备的性能也需要跟上,若是设备性能成为瓶颈,即使带宽充足也无能为力。在有网络带宽保证的前提下,应该尽量提升硬件配置。
ddos攻击方式有哪些?
流量攻击
就像快递服务站 (服务器) 一样,服务站的门通道 (带宽) 是有限的,大量的垃圾包裹 (攻击包) 会突然来到快递服务站进行快递。服务站的门通道 (带宽) 立即被占用,导致正常的包裹 (正常的包) 无法发送到快递服务站,服务站也无法为正常的包裹提供相应的服务。
资源耗尽攻击
就像快递服务站 (服务器) 一样,服务站的包处理能力是有限的 (CPU、内存等处理能力)。大量的包 (攻击包) 导致快速服务站满负荷运行 (CPU、内存和其他满负荷)。结果是正常的包 (正常包) 到达服务站后,服务站由于工作负荷满,无法为正常的包提供相应的服务。
TCP 洪水攻击
我们知道 TCP 需要三次握手来建立连接,而这种攻击利用 TCP 协议的这个特性来发送大量伪造的 TCP 连接请求,第一个握手包 (SYN 包) 使用假冒的 IP 或 IP 段作为源地址发送大量的请求进行连接,被攻击的服务器响应第二个握手包 (SYN+ACK 包),因为另一方是假 IP,所以另一方永远不会收到来自服务器的第二个握手包,也不会响应来自服务器的第三个握手包。导致被攻击的服务器保持大量 SYN_RECV 状态为 “半连接”,并在默认情况下重试响应第二个握手包 5 次,TCP 连接队列满、资源耗尽 (CPU 满或内存不足),最终让正常的业务请求无法连接。
TCP 全连接攻击
攻击模式是指许多僵尸主机不断地与被攻击的服务器建立大量真实的 TCP 连接,直到服务器的内存等资源被消耗殆尽,导致拒绝服务。这种攻击的特点是连接是真实的,所以这种攻击可以绕过一般防火墙的保护来达到攻击的目的,随着 5 g 时代,物联网的发展,物联网的安全设备远低于个人电脑,和攻击者更有可能获得大量的 “肉鸡”, 相信僵尸主机的数量会更大。
反射性攻击
黑客的攻击模式依赖于发送被针对服务器攻击主机的大量的数据包,然后攻击主机被攻击服务器时会产生大量的反应,导致攻击服务器服务瘫痪,无法提供服务。黑客往往选择那些比请求包大得多的响应包来利用服务,从而能够以较小的流量换取较大的流量,获得几倍甚至几十倍的放大效果,从而达到四两拨千斤的目的。
怎么防御DDoS攻击成为大家热议的话题,DDOS本是利用合理的请求造成资源过载导致服务不可用,从而造成服务器拒绝正常流量服务。在面对ddos攻击的时候我们也不是坐以待毙,快快网络小编给大家整理了几招防止ddos攻击的方法大家记得收藏起来。