容量耗尽型DDoS攻击(volumetric DDoS attacks)来说,它并不需多大规模即可造成影响,它只需要与你的网络管道一样大。换言之,发动一次容量耗尽型DDoS攻击要比想象中容易的多。
而在我印象里,大部分机构(当然不包括服务提供商)的公网带宽要小于1Gbps,这也意味着它们面临DDoS攻击威胁时会非常脆弱。
下面是另一项统计,根据Arbor公司发布的第十二份《全球基础设施安全报告》,41%的企业和政府机构和60%的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。
历史上,发动一次DDoS攻击从未像现在这般容易,一次持续一小时的攻击甚至仅需5美元。
与此同时,很多机构对于DDoS攻击威胁却依然保留着一些错误认知。
◆ 一些人认为自己不会成为攻击的目标,即便遇到DDoS攻击造成的服务中断,他们也会将之归咎于设备故障或者操作失误。
◆ 而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商(ISP)/内容分发网络(CDN)提供的单层防护即可抵御威胁。
然而,指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。
◆ 首先,防火墙/IPS作为状态型设备,在进行网络连接的状态检测时,易被作为DDoS攻击目标。
◆ 其次,ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。
如今,我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系DDoS防护产品作为保险性投资无疑必要且迫在眉睫。
一个显而易见的事实是,面对那些足够撑爆网络管道的资源耗尽型攻击,只有一个方法可以让你的机构免于威胁,那就是连上上游互联网服务提供商(ISP)或者安全托管服务提供商(MSSP)进行云上防御。
……
那么具体如何处理DDoS攻击威胁呢?
充分的准备是抵御DDoS攻击的关键,你需要完成以下两步来应对威胁。
— 第一步 —
在本地部署应用层阻止DDoS攻击,在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前,他们也可以用于阻止“受伤”主机访问外部。
另外,由于DDoS攻击发起时毫无征兆,于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测,并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时,能够通过云信令(Cloud Signal)来请求云上支援。
— 第二步 —
下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前,在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的,本地部署检测设施在受到DDoS攻击时,与上游通信,动态重新规划路由网络,将流量引入到清洗中心(scrubbing center),在那里将恶意DDoS流量清洗掉,然后干净的流量再被引出。而这正是应对大规模攻击的关键。
最后,云上和本地部署两个环境之间需要能够进行智能通信,以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持,以进行相应处理。
DDoS仅需要在规模上与你的互联网管道同等大小,便可对所在组织网络安全产生影响。为最小化DDoS攻击影响,始终开启检测和云上自动缓解清洗当是明智之选.
DDoS攻击是一种最常见的网络攻击,它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址,然后分别向服务器端发送大量的SYN包,这个时候服务器端会返回SYN/ACK
包,而伪造的IP端不会应答,服务器端没有收到伪造的IP的回应,会进行重试机制,3~5次并等待一个SYN的时间(30s-2min),如果超时则丢弃。通过大量的网络请求,消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式:
方法1:
路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品,假如攻击发生的时候用流量限 制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP
方法二
在应用程序中对每个“客户端”做一个请求频率的限制,或者从网站的代码上实行优化。将数据库压力转到内存中,及时的释放资源。显示每个IP地址的请求频率,根据IP 地址和 User Agent 字段,进行过滤。
方法三
部署CDN,CDN可以把网站的静态内容分发到多个服务器,可以进行带宽扩容,增大访问量,提高承受攻击的能力。
最简单的办法就是把网页做成静态页面的。
说起对DDOS防御问题,这个对很多站长来说都是很头疼的事儿,以为一旦被DDOS攻击,除了关闭服务器好像都没有很好的办法。这时候站长们会发现网上各个平台所谓的世界先进软防/硬防都是摆设了。
其实,就我自己的经验(我自己去年一直被人恶意CC/DDOS攻击),在被DDOS攻击后,最好的办法就是停掉DNS解析,让DDOS的攻击变成没有意义的攻击,这样攻击者购买来的攻击流量也就白白浪费了(免费的攻击流量一般都很好拦截,拦截防御不了的基本可以断定是购买来的代理流量了),然后有条件的话就变更一下服务器的IP地址,重新上线网站,不过,在上线直接一定要部署好服务器本地的防火墙安全策略,还要给新的IP地址的服务器上个免费的 CDN 服务(当然,收费的最好了!),比如:百度云加速、360网站卫士、又拍云等等这些有WAF功能的 CDN 服务。这样主要是起到隐藏服务器真实IP的目的,攻击者没有服务器的真实IP就只能针对域名来实施攻击,因为用了 CDN 加速,所以攻击也就是造成某个 CDN 节点失效而已,不会对网站整体访问率有多大的影响。服务器本身的防火墙策略也可以阻挡一部分针对域名的攻击行为,结合 CDN 自身的WAF防御就分解了攻击流量,服务器的负载会逐步下降。基本上我就是这么应对几次的CC/DDOS攻击的,实践证明是成功的!
关于平时的防御你可以看看【博客网站由内而外的安全防御思路】我的博客文章,其实最重要的就是隐藏自己真实的IP地址,只有隐藏了真实的IP地址才能真正的阻挡DDOS攻击,这是基础,这也为什么我一直给站长们讲的,能用 CDN 就一定要用个 CDN < span style="font-family: 宋体; font-size: 24px;">!在互联网这个“黑暗森林”里隐藏自己才是活下去的第一要素呀!