编者按:
2016年7月20日,乐视视频官微发布公告称:7月19日,乐视视频遭受高强度的DDOS流量攻击,流量峰值高达200Gbps/s。攻击发生后,乐视公司启动最高级应急预案,经过紧急抢修后恢复正常访问。
图片来源:微博截图
事件发生后,有网友发出疑问,200G的DDOS流量攻击究竟有多大威力?居然能把一家大型互联网公司网站攻击瘫痪?如何才能做到防患于未然呢?这些问题要先从什么是DDOS说起。
- 什么是DDOS流量攻击?
图片来源:网络
据公开资料显示,DdoS(Distributed Denial of Service)全称分布式拒绝服务攻击(也称流量洪水)。其主要攻击方式为利用多台计算机向指定目标服务器发送洪水般的攻击数据包,导致被攻击服务器系统资源或带宽耗尽,无法响应用户正常请求。
打个通俗的比方,就好像是攻击者雇佣大量重型卡车全部停在公路上,导致正常行驶的车辆无法顺利通过,使得交通瘫痪。
- 200Gbps流量攻击是什么概念?
图片来源:网络
众所周知,由于服务器自身硬件条件的限制,所能容纳的最高访问数量也是有限的,类比上文中的公路,一条固定的路所能同时容纳的车辆数量也是有限的。用户在线访问服务器需要占用服务器一定的带宽资源,抛开内存不谈,单是200Gbps的纯流量攻击,折合成普通用户所使用的家庭电脑数量,数量可能在15万~20万台之间,甚至更高,如此之多数量的恶意访问,同时占用服务器带宽、内存资源,服务器由于资源耗尽而瘫痪。
- 如何正确防范DDOS流量攻击?
图片来源:网络
TCP/IP协议是目前互联网采用最广泛的数据传输协议,在所有网络攻击手段中,DDOS流量攻击几乎是最难防范的一个,其原因是TCP/IP协议本身的安全缺陷造成的。
对于DDOS流量攻击,目前还没有完全有效的方法,但可以从以下几个方面加以防范:
1. 对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包的复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。
2. 在该网段的路由器上做些配置的调整,这些调整包括限制SYN半开数据包的流量和个数。在路由器的前端多必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可以进入该网段,这样可以有效的保护本网段内的服务器不受此类攻击。
3.租用高防抗攻击服务器,这类服务器通常采用硬件防火墙对服务器进行安全防护,代替服务器执行部分功能,使IP路由更加稳定,达到抵御DDOS流量攻击的效果。银凌数据(www.3389idc.cn)专注于高防服务体系,为中小企业与个人互联网应用提供高防服务器租用/托管业务,目前已服务上百家客户。