可以说DDoS在互联网界是有口皆碑的,也可以直言其臭名昭著。随着DDoS攻击范围的不断扩大,网站的安全性变得越来越重要。在防范DDoS攻击之前,我们可以先了解一下DDoS及其常见的攻击方式。
关于DDoS攻击
DDoS(分布式拒绝服务),即分布式拒绝服务。这种分布式拒绝服务意味着什么?广义来说,所有能导致合法用户无法访问网络服务的行为都是拒绝服务攻击,而DDoS主要是通过大量合法请求占用大量资源,导致服务器瘫痪,使正常用户无法访问。DDoS攻击迅速而猛烈,一旦实施,就会涌向受害服务器,因此也被称为“洪水攻击”。
编辑到中心
添加图片注释,不超过140字(可选)
为什么黑客会选择DDoS这种不同于其他恶意数据篡改或劫持攻击的攻击方式?DDoS简单粗暴,可以直接摧毁目标。此外,与其他攻击方式相比,DDoS的技术要求低,发起攻击的成本也低。它只需要购买一些服务器权限或者控制一批肉鸡,攻击速度快,攻击效果可见。另一方面,DDoS易攻难守。为了满足正常客户的需求,服务提供商需要花费大量的资源来对抗攻击者。这些特点让DDoS成为黑客手中非常好的一把利剑,而且是出其不意。另一方面,DDoS可以侵蚀带宽或资源,迫使服务中断,但这远不是黑客的真正目的。俗话说,没有买卖就没有杀戮。DDoS只是黑客手中的核武器。他们的目的要么是敲诈勒索,要么是商业竞争,要么是表达自己的政治立场。在这种黑色利益的驱动下,越来越多的人参与到这个行业中,并改进和升级攻击手段,导致DDoS在互联网行业愈演愈烈,成为世界范围内无法攻克的顽疾。
DDoS的攻击方式:一个服务需要对公众开放,所以需要提供用户访问接口。这些接口恰恰给了黑客可乘之机。比如你可以利用TCP/IP协议的握手缺陷消耗服务器的链路资源,你可以利用UDP协议的无状态机制伪造大量UDP包阻塞通信通道...可以说,互联网世界从诞生开始就不缺乏DDoS使用的攻击点,从TCP/IP协议机制到CC、DNS、NTP反射攻击。
如何防范ddos攻击?DDoS攻击是利用一组受控的机器对一台机器进行攻击,攻击速度之快让人难以防范,因此具有破坏性。如果过去网络管理员可以针对Dos过滤IP地址,那么现在的DDoS很多伪造的地址是没有办法处理的。因此,防止DDoS攻击更加困难。如何采取有效措施应对?下面从两个方面来介绍一下。
首先,寻找应对攻击的机会
如果用户正在被攻击,他能做的防御工作将非常有限。因为大量的灾难性攻击在用户毫无准备的情况下冲向用户,很可能在用户还没有恢复过来的时候,网络就已经瘫痪了。但是,用户仍然可以抓住机会寻求一线希望。
检查攻击的来源。通常黑客会通过很多假的IP地址发动攻击。这时候如果用户能分辨出哪些是真IP地址,哪些是假IP地址,进而知道这些IP地址来自哪个网段,那么就要求网络管理员关闭这些机器,这样就能第一时间消除攻击。如果发现这些IP地址来自公司外部而不是公司内部,可以采取临时过滤的方式,在服务器或路由器上过滤掉这些IP地址。
找出攻击者采取的路线并屏蔽攻击。如果黑客从某些端口发起攻击,用户可以封锁这些端口以防止入侵。但是,当公司网络只有一个出口并且受到来自外部的DDoS攻击时,这种方法是无效的。毕竟出口端口关闭后所有电脑都无法上网。
最后,一个折中的方法是在路由器上过滤掉ICMP。虽然他不能完全消除攻击过程中的入侵,但是过滤掉ICMP可以有效防止攻击规模的升级,在一定程度上降低攻击的级别。
第二,预防为主,确保安全
DDoS攻击是黑客最常用的攻击手段。以下是一些常规的处理方法。
1.过滤所有RFC1918 IP地址。
RFC1918 IP地址是内部网络的IP地址,如10.0.0.0、192.168.0.0和172.16.0.0。它们不是某个网段的固定IP地址,而是互联网内部预留的区域性IP地址。它们应该被过滤掉。这种方法不是过滤内部员工的访问,而是过滤攻击过程中伪造的大量虚假内部IP,也可以减少DDoS攻击。
2.用足够多的机器遭受黑客攻击
这是一种理想的应对策略。如果一个用户有足够的能力和资源让黑客攻击,那么他自己的精力也会随着不断访问用户,抢占用户资源而逐渐消耗。也许在用户被杀死之前,黑客什么也做不了。但是这种方式需要大量的投入,而且大部分设备平时都处于空空闲状态,与目前中小企业网络的实际运行情况不符。
3.充分利用网络设备保护网络资源。
所谓网络设备,是指路由器、防火墙等负载均衡设备,能够有效保护网络。当网络受到攻击时,路由器是第一个死的,但其他机器并没有死。死路由器重启后会恢复正常,启动很快,没有任何损失。如果其他服务器死亡,其中的数据将会丢失,重新启动服务器是一个漫长的过程。特别是,一家公司使用了负载均衡设备,这样当一台路由器受到攻击并崩溃时,另一台路由器会立即工作。从而最大程度减少DDoS攻击。
4.在主干节点上配置防火墙。
防火墙本身可以抵御DDoS攻击和其他攻击。当发现攻击时,可以将其定向到一些受害主机,这样可以保护真正的主机免受攻击。当然,这些牺牲主机可以选择不重要的,或者是漏洞少,对linux、unix等攻击有优秀天然防御的系统。
5.过滤不必要的服务和端口
可以使用不表达、表达、转发等工具。来过滤不必要的服务和端口,也就是过滤路由器上的假IP。例如,思科公司的CEF(Cisco Express Forwarding)可以将包源IP与路由表进行比较并进行过滤。只开放服务端口已经成为目前很多服务器流行的做法。例如,WWW服务器只打开80个端口,关闭所有其他端口,或者在防火墙上制定阻塞策略。
6.限制SYN/ICMP流量
用户应该在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP数据包可以占用的最大带宽。这样,当出现大量超过限定的SYN/ICMP的流量时,就说明不是正常的网络访问,而是黑客入侵。在早期阶段限制SYN/ICMP流量是防止DOS的最佳方法。虽然目前这种方法对DDoS的效果并不明显,但还是能起到一定的作用。
7.常规扫描
需要定期扫描现有的网络主节点,检查可能存在的安全漏洞,及时清理新的漏洞。由于骨干电脑带宽高,是黑客利用的最佳场所,所以加强这些主机本身的主机安全非常重要。而且所有连接到网络主要节点的计算机都是服务器级别的,所以定期扫描漏洞就变得更加重要了。
8.检查访客的来源
通过反向路由器查询,使用单播反向路径转发等方法检查访问者的IP地址是否真实。如果是假的,就屏蔽掉。很多黑客攻击往往用假的IP地址迷惑用户,很难发现它是从哪里来的。因此,使用单播反向路径转发可以减少虚假IP地址的出现,有助于提高网络安全性。
当你被大流量攻击的时候,你得找蚂蚁云安全这样的专业网络安全公司来防御。企业可以配置蚂蚁云的高安全性IP,隐藏源IP,让所有访问先经过高安全性IP。如果有DDOS/CC攻击,会自动识别清理,将正常流量转发到源服务器,保证服务器稳定运行。网站:***.xy3000.com
目前互联网环境越来越复杂,网络攻击越来越频繁,给各大互联网公司造成了较大的冲击和损失。为了保证服务器的稳定运行,墨家的安全建议一定要提前选择合适的高安全性产品,不要等到服务器崩溃了才想办法,到时候损失是无法弥补的。
这里介绍一下常见的ddos攻击有哪些,如何防范。从技术角度来说,ddos攻击不是一种攻击,而是一大类攻击的统称。种类有几十种,新的攻击方式也在不断被发明出来。所以如果遇到无法解决的DDoS攻击,可以找小蚁云安全团队寻求技术支持。我们将安排专业的技术团队为您解决难题WXAlm168888。
本文来自西狸森溪寒风投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/643058.html
微信扫一扫 
