DDoS(Distributed Denial of Service,分布式拒絕服務(wù))
定義:
主要通過大量合法的請求占用大量網(wǎng)絡(luò)資源,從而使合法用戶無法得到服務(wù)的響應(yīng),是目前最強(qiáng)大、最難防御
的攻擊之一。
ddos攻擊最大的難點(diǎn)在于攻擊者發(fā)起的攻擊的成本遠(yuǎn)低于防御的成本。比如黑客可以輕易的控制大量肉雞發(fā)起
10G,100G的攻擊。而要防御這樣的攻擊10G,100G帶寬的成本卻是100W,1000W….
分類:
網(wǎng)絡(luò)層攻擊:SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等等
應(yīng)用層攻擊:
效果:
占滿網(wǎng)絡(luò)帶寬;
提交大量請求,使服務(wù)器超負(fù)荷運(yùn)行,響應(yīng)緩慢;
阻斷某一用戶訪問服務(wù)器;
阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。
防護(hù):
1.針對第一種,需要在運(yùn)營商網(wǎng)絡(luò)里進(jìn)行攻擊流量識別,清洗;
2.第二種需要對流量模型學(xué)習(xí)建模,防護(hù)引擎要有多種方式檢測攻擊流量并自動(dòng)生成過濾特征。當(dāng)然最重要是
修復(fù)應(yīng)用的脆弱設(shè)計(jì);抗DDOS設(shè)備主要的技術(shù)難點(diǎn)在于如何準(zhǔn)確判斷流量是攻擊流量還是正常流量。流量清洗
回注是沒多少技術(shù)含量的。當(dāng)然光靠設(shè)備自動(dòng)化防護(hù)是遠(yuǎn)遠(yuǎn)不夠的,需要有應(yīng)急團(tuán)隊(duì)的專業(yè)服務(wù)。那些直接說
不能防護(hù)的人不知是神馬心態(tài).
防御手段:
總體來說,從下面幾個(gè)方面考慮:
硬件
單個(gè)主機(jī)
整個(gè)服務(wù)器系統(tǒng)
硬件:
1.增加帶寬
帶寬直接決定了承受攻擊的能力,增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本非
常高。
2、提升硬件配置
在有網(wǎng)絡(luò)帶寬保證的前提下,盡量提升CPU、內(nèi)存、硬盤、網(wǎng)卡、路由器、交換機(jī)等硬件設(shè)施的配置,選用知名
度高、 口碑好的產(chǎn)品。
3、硬件防火墻
將服務(wù)器放到具有DDoS硬件防火墻的機(jī)房。專業(yè)級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK
攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊.
單個(gè)主機(jī):
1、及時(shí)修復(fù)系統(tǒng)漏洞,升級安全補(bǔ)丁。
2、關(guān)閉不必要的服務(wù)和端口,減少不必要的系統(tǒng)加載項(xiàng)及自啟動(dòng)項(xiàng),盡可能減少服務(wù)器中執(zhí)行較少的進(jìn)程,更
改工作模式
3、iptables
4、嚴(yán)格控制賬戶權(quán)限,禁止root登錄,密碼登錄,修改常用服務(wù)的默認(rèn)端口
整個(gè)服務(wù)器系統(tǒng):
1. 負(fù)載均衡
使用負(fù)載均衡將請求被均衡分配到各個(gè)服務(wù)器上,減少單個(gè)服務(wù)器的負(fù)擔(dān)。
2、CDN
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺的分發(fā)、調(diào)度等功能模塊
,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡(luò)擁塞,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡
技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節(jié)點(diǎn)分擔(dān)滲透流量,目前大部分的
CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,再加上硬防的防護(hù),可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。
3. 分布式集群防御
分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址,并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊,如一
個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)
送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
我司根據(jù)現(xiàn)有DDOS攻擊狀況提供不同程度攻擊的高防服務(wù)器
福建福州雙線高防服務(wù)器:防御高、線路穩(wěn)、安全速度快、價(jià)格實(shí)惠!
酷睿I5 4核內(nèi)存32G 1T機(jī)械硬盤獨(dú)享100M/G口電信聯(lián)通雙線防御200G
酷睿I5 4核內(nèi)存16G 1T機(jī)械硬盤獨(dú)享100M/G口電信聯(lián)通雙線防御260G
酷睿I5 4核內(nèi)存8G 500G機(jī)械硬盤獨(dú)享100M/G口電信聯(lián)通雙線防御300G
需要的客戶朋友可以聯(lián)系我!
聯(lián)系電話:13798259175 企業(yè)QQ:2853898508
公司地址:廣東省東莞市南城區(qū)高盛科技園北區(qū)c座309
公司:銳輝網(wǎng)絡(luò)科技有限公司