在安全圈里,DDoS可谓家喻户晓。从DDoS诞生开始,无数网络安全工程师就对它深恶痛绝,像Google、亚马逊等技术实力强劲的巨头公司,也无法避免遭受DDoS攻击。可以这么说,DDoS是目前最强大、最难防御的攻击之一,属于世界级难题,没有解决办法,只能缓解。我们不禁好奇,为什么DDoS攻击是无解的?是技术水平不够,还是其他什么原因?DDoS的原理其实不复杂,就是利用大量肉鸡,仿照真实用户行为,使目标服务器资源消耗殆尽,最终无法为用户提供服务。就好像一家火锅店来了一群地痞流氓,光占座不叫餐,导致正常顾客没座位,点不了餐,火锅店无法正常开店。我们举一个例子,就可以了解为什么DDoS无法解决。
CC攻击是DDoS的一种类型,攻击者会借助代理服务器生成受害主机的合法请求。相信大家都有过这样的经历,当某一个网站或者app在做秒杀、限时活动、抢购活动时,访问量突增,导致页面打开速度变慢,如果人数超出服务器负载,页面可能就完全打不开了。攻击者发动CC攻击的结果,与上面的例子一模一样。对于防御方来说,很难分辨谁是真实用户,谁是攻击者的肉鸡,敌人是谁都不知道,更别说发起进攻了。
成本是硬伤,虽然无法解决DDoS攻击,但可以采用一些技术手段,来缓解或者提高攻击的门槛。防御方的成本主要来自购买游戏盾、高防IP等云防护产品、采用的技术手段支出的人工成本、购买硬件设备的成本等等。同样,攻击者发动DDoS攻击,也需要付出相应的成本,比如时间成本、购买肉鸡的成本、购买0day及其他漏洞的成本、编写或购买DDoS程序的成本、甚至还可能是委托第三方发动DDoS所需要的费用等等。防御者的防御做的越完善,所付出的成本也越高。同理,攻击者想发动更大规模的攻击,成本也越高。如果攻击者想发动攻击的成本,高于攻击带来的收益,那么DDoS就不会发。反之,如果成本合适,那么攻击者就会发动攻击,享受攻击带来的收益。
缓解DDoS,DDoS攻击虽然无解,但却可以采用多种手段缓解和预防,或打消攻击者发动DDoS的意图,或使攻击者的预计收益下降“入不敷出。”
DDOS 的主要攻击方式,一般来说,DDOS 的表现形式主要有两种:
流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机,包括 UDP 洪水攻击、ICMP 洪水攻击、死亡之 Ping、泪滴攻击等攻击方式。
资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完而造成无法提供网络服务,包括 SYN flood、LAND 攻击、CC 攻击、僵尸网络攻击,应用程序级洪水攻击等攻击方式。
根据行业权威报告显示,僵尸网络不再局限于单一的 DDOS 攻击手段,而是选择与勒索软件,挖矿木马合作进行攻击,部分则转向分布式爆破攻击,攻击手段的丰富和灵活的切换使得黑灰产能够进一步降低 DDOS 攻击成本,提升攻击效果。
服务器防止DDoS攻击的方法:
1、及时更新服务器系统并且打上安全补丁,保证服务器系统的安全;
2、需要使用CDN对服务器IP地址进行隐藏,防止服务器对外传送信息时泄漏IP;
3、需要定期对服务器数据进行备份,防止数据丢失无法恢复;
4、需要加强服务器本地文件格式安全级别,防止被黑客轻易破解。
具体内容如下:
1、保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞.
2、使用CDN隐藏服务器真实IP
用户可以通过配置高防CDN,将攻击流量引流到高防IP清洗,确保源站业务稳定可靠。服务器前端加CDN中转,如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。另外,防止服务器对外传送信息泄漏IP,最常见的是,服务器不使用发送邮件功能,如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。
3、定期备份数据
用磁带来保存珍贵的数据,但是数据备份也存在巨大的安全漏洞,所以在备份时也应该对备份介质进行有效地保护。
4、加强服务器本地文件格式安全级别
我们虽然无法阻止恶意的攻击者向服务器发送大量不真实的访问数据信息,但可以提前做好准备,提高负载处理的能力。比如可以为带宽扩容,在短时间内为网站急剧扩容,提供几倍或几十倍的带宽,顶住大流量的请求。也可以购买高防CDN服务,通过CNAME 解析,十分钟即可完成接入,有效抵御 SYN Flood、UDP Flood、ICMP Flood 等各种大流量攻击。高防IP总防护能力达到 TB 级,轻松抵御超大流量攻击。
但某些企业用户业务常态下未遭受大流量 DDOS 攻击,且对延迟敏感,因此用户希望常态下不使用 DDOS 防护产品和服务。只在企业大促、展会、产品发布会、新业务上线等重要活动场景,以及企业融资、并购、上市等关乎企业发展的重大事件期间,极易遭受竞争对手和黑产恶意 DDOS 攻击,需要在活动期间按需使用 DDOS 防护产品和服务。并由专业的安全团队提供 7*24 小时安全重保,监控 DDOS 攻击情况和业务健康状况,实时调整防护策略,保障业务稳定性的同时,也可节省大量安全防护和运营成本。
DDOS 定制防护服务包括近源清洗、流量压制、DNS 刷新等服务,可根据具体客户场景提供定制服务:
近源清洗
近源清洗是在运营商侧骨干网络提供大流量的 DDOS 攻击清洗,清洗靠近攻击源,能够有效缓解用户高防 IP 上源站的防护压力,降低被攻击业务进入黑洞的概率。
流量压制
流量压制是在运营商侧骨干网络实现流量封禁,可根据业务实际被攻击的流量地域分布特性,自主选择封禁区域。例如当用户发现 DDOS 攻击中海外流量占比较高,而业务本身并不对海外提供服务,用户可自主选择封禁海外流量,同时也支持用户随时解除封禁。
DNS 刷新
域名系统(Domain Name System,简称 DNS)是整个互联网服务的基础系统之一,负责将人们访问的互联网域名转换为 IP 地址,这一转换的过程叫做 “域名解析“, 所以 DNS 又称 “域名解析系统”。域名系统每个节点都由若干 DNS 服务器组成。这些节点服务器中拥有域名解析配置管理权限的服务器称为权威 DNS 服务器。没有域名解析配置管理权限,但是能同步权威 DNS 服务器数据,利用同步缓存提供解析服务的称为缓存 DNS 服务器。权威 DNS 服务器只拥有部分域名的数据,且互相之间没有直接联系。为能够提供更全面的域名解析服务,产生了递归 DNS 服务器,互联网中的递归 DNS 服务器通常由运营商管理。
DNS 刷新即运营商递归 DNS 服务器发起的和权威 DNS 服务器同步过程,同步过程秒级生效,保障用户业务接入和切换流畅。详情咨询QQ1794585
留言0