您的位置: 首页  >  文章  >  面对DDOS该如何防御?

面对DDOS该如何防御?

分类: 文章 2024-12-23 11:28:52

如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都离不开网络。但是,网络空间在创造机遇的同时,也带来了威胁,其中 DDoS 就是最具破坏力的攻击。经过这些年的不断发展,它已经成为不同组织和个人的攻击形式之一,用于网络中的勒索、报复,甚至网络战争。

我上一篇文章简单介绍了下什么是ddos。防止新来的童鞋看不懂,这边稍微再介绍一下,也是一个简单的总结吧。

DDOS攻击翻译为中文就是分布式拒绝服务攻击。

  1. 拒绝服务攻击:可以简单理解为,让一个正常的网络业务无法正常访问或使用,而实现的方法也很简单,就是不断的对目标服务器发送大量正常的请求,让服务器无暇去处理其他合法用户的请求。
  2. 分布式:随着网络高速发展,单一计算机发起的网络攻击,已经对大多数企业无法构成威胁,于是DDOS应运而生,简单来说,就是攻击者组织了很多同伙,同事对目标发起请求,给目标服务器造成更大的压力,这就是分布式。
  3. 知道了什么是DDOS,那么针对这种恶意攻击请求,企业应该如何应对呢?

面对DDOS攻击,该如何应对。

一. 通过硬件设备防御几种方法

网络架构、设施设备是整个系统得以顺畅运作的硬件基础,用足够的机器、容量去承受攻击,充分利用网络设备保护网络资源是一种较为理想的应对策略,说到底攻防也是双方资源的比拼,通俗来说拼的的RMB,性价比不高,需要量力而行。

  • 扩充带宽硬抗,网络带宽直接决定了承受攻击的能力,一般网站的带宽在10-100M左右,而DDOS的攻击者,可以通过控制大量“肉鸡”同时对服务器发起请求,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。虽然说扩带宽是理论最优解,只要我得宽带大于攻击者的流量那么你就无法对我造成影响。话虽如此,但是成本巨大,普通企业难以承受,所以有人调侃拼带宽就是拼RMB。基本很少有人会花大价钱提升带宽硬抗。
  • 硬件防火墙,针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰,可以考虑将网站放到DDoS硬件防火墙机房。但是硬件防火墙的防御能力也是有限的,同时防御性越好的防火墙价格也就越高。部分防火墙只会在网络层检查数据包,如果攻击上升到应用层,防御能力就比较弱了。总之硬防还是一个比较不错的方法吧。

面对DDOS该如何防御?

防火墙原理

  • 高性能设备,前面我们说到有的DDOS攻击是针对应用层,让服务器的资源耗尽来达到攻击的目的。除了防火墙,服务器,交换机,路由器等设备的性能也要跟上。否则就算你带宽充足,但是设备性能不足,面对ddos也是无能为力。(好比自己的电脑所连接的网络很好,但是计算机很卡,一样会造成计算机无法正常工作的局面)。所以在保证带宽的前提下,其他设备的性能也要跟得上。保证一个设备和带宽的合理搭配。

二. 高效合理的一些方法

硬碰硬的防御偏于“鲁莽”,通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载的流量,通过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”,而且对抗效果良好。

  • 负载均衡,普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求,网络处理能力很受限制。负载均衡它提供了一种廉价有效的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力,对DDoS流量攻击和CC攻击都很见效。企业网站配置了负载均衡后,网络请求会按照规则均衡分配到不同的服务器上,从而减小单台服务器的压力。用户的使用体验也会提升。

面对DDOS该如何防御?

负载均衡

  • CDN流量清洗,CDN全称Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。当你部署了CDN之后不仅可以提高网站的访问速度,同时也起到一个隐藏真实服务器地址的作用。如果攻击者无法获取攻击目标的ip地址,那么也就无从下手 。当我的不暴露源ip的情况下,攻击者也只能攻击高防ip,再当遭受到大量流量攻击的时候,来自不同位置的攻击流量会被分散到不同的CDN节点中,起到一个流量稀释的作用,并且CDN节点会过滤清洗异常流量,只会把正常的请求发送给源服务器。从而达到一个保护的目的。

面对DDOS该如何防御?

CDN节点

  • 高防智能DNS解析:高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。
  • ps:我觉得最好的方法就是找到攻击者(竞争对手)的机房,然后把服务器部署过去,被攻击的话就和对手同归于尽。哈哈哈。

三. 如何预防DDOS攻击

DDoS的发生可能永远都无法预知,而一来就凶猛如洪水决堤,因此网站的预防措施和应急预案就显得尤为重要。一些被攻击者之所以被攻击,并不是黑客的手法如何高明,而是因为他们的业务系统本就漏洞百出,所以通过日常惯性的运维操作让系统健壮稳固,没有漏洞可钻,降低脆弱服务被攻陷的可能是很有必要的。尽量将攻击带来的损失降低到最小。

  • 排查系统漏洞

要想最大化防御攻击,首先自己的工作要做好,尽量减少程序或者系统的攻击漏洞并且修复,才能将被攻击的可能性降到最小。

  • 系统资源优化

合理优化系统,避免系统资源的浪费,提高系统负载能力,才可以程序更强大的攻击。

  • 过滤不必要的服务和端口

要想不进贼,那就需要关好门窗。尽量不提供给攻击者机会。

  • 限制异常流量

检查访问来源并做适当的限制,以防止异常、恶意的流量来袭,限制特定的流量,主动保护网站安全。

 

一名ecloud(易刻得)的不知名员工

相关推荐