DDoS攻击的定义:
DDoS攻击全称——分布式拒绝服务攻击,是网络攻击中非常常见的攻击方式。在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。
DDoS攻击类型:
ICMP Flood:通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。
UDP Flood:攻击者通常发送大量伪造源IP地址的小UDP包,100k bps的就能 将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。
ACK Flood: 目前ACK Flood并没有成为攻击的主流,而通常是与其他攻击方式组合在一起使用。
NTP Flood:攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址被伪造成攻击目标的IP,这样一来可能只需要1Mbps的上传带宽欺骗NTP服务器,就可给目标服务器带来几百上千Mbps的攻击流量。
SYN Flood:一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。
CC 攻击:由于CC攻击成本低、威力大据调查目前80%的DDoS攻击都是CC攻击。CC攻击是借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。
DNS Query Flood:DNS Query Flood采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
DDoS攻击防御办法:
1、云防御:目前,许多的企业面对大攻击时都是采用这种方式来进行防御,一方面可以通过云进行调度,另一方面操作也非常的简单,并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高,这个要看企业对DDoS攻击的衡量,是被打垮了损失的费用更大还是花钱抗D花费的费用更大。目前国内做的比较好的四大厂商是:阿里云、腾讯云、知道创宇和绿盟云,下面我们来分析一下各家优势。
阿里云:基本上可以防护各种DDoS攻击,并可以根据用户的流量大小自动调整防御策略,支持BGP和CDN两种引流,并在防御应用层DDOS上有很大优势,最大防护能力达到T级。
腾讯云:腾讯基于自身能力在游戏和社交产品的防御上独具优势,采用BGP防护带宽,单IP对接多线路,线路可靠且覆盖面广。
知道创宇:同样能对互联网上各种类型的DDoS攻击进行防护,并且有自主研发Anti-CC引擎,在防CC攻击上有明显优势,最大防护达2T。他们有免费试用和低价的抗D套餐,有需要的可以试试。
绿盟云:背靠绿盟多年硬件防护能力,基于CPE设备/软件结合云端服务的混合抗D方案,绿盟当前在大客户有广泛的ADS及抗D模块设备如WAF的部署,可以很容易感知业务异常,方便和云端联动和协作。
2、扩充带宽:网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。但这种方式的缺点就是价格实在太贵。
3、分布式集群防御:分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
4、负载均衡:负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载,而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后,链接请求被均衡分配到各个服务器上,减少单个服务器的负担,整个服务器系统可以处理每秒上千万甚至更多的服务请求,用户访问速度也会加快。
5、定期检查防御:DDoS的发生可能永远都无法预知,而一来就凶猛如洪水决堤,因此网站的预防措施和应急预案就显得尤为重要。如:定期检查系统发现已存在的攻击漏洞并及时安装系统补丁;过滤不必要的服务和端口,减少攻击者进入和利用已知漏洞的机会;限制特定的流量,检查访问来源并做适当的限制,以防止异常、恶意的流量来袭,主动保护网站安全。
原文地址:http://blog.51cto.com/13761290/2119496