网站面对持续的DDoS攻击,如何快速解决?
当我们发现网站服务器被攻击的时候不要过度惊慌失措,先查看一下服务器是不是被黑了,找出网站存在的黑链,然后做好网站的安全防御,开启IP禁PING,可以防止被扫描,关闭不需要的端口。这些是只能防简单的攻击,对于大流量DDOS攻击,必须要有足够的带宽和防火墙配合起来才能防御,你的防御能力大于攻击者的攻击流量那就防住了。
ddos攻击规模不断增长,云防御能防住吗?
卡巴斯基实验室近期公布的DDoS Intelligence报告中表示,2018年DDoS活动要比去年减少了13%。由于9月份的异常活跃导致第3季度同比增长之外,2018年其他3个季度检测到的攻击次数均有所下降。第4季度攻击最不活跃,同比下降了30%。虽然攻击的绝对数量可能已经有所下降,但是攻击持续的时间正在增加。
当前很多DDoS攻击峰值出现Tb级,该如何防护?
我们要想有效的防护DDoS攻击,首先要了解不同的DDoS攻击所针对的不同网络组件和协议。攻击分类及应对基于不同的层级,攻击可以分为三类:应用层攻击:对第七层也就是应用层的攻击,这种攻击的目的是耗尽目标的应用资源。比如HTTP洪水攻击,大量的请求耗尽HTTP服务器的响应能力,导致拒绝服务。防御的做法通常是监视访问者的行为,阻止已知的僵尸网络情报源,或者是通过JS测试、cookie、验证码等技术来识别可疑或者无法识别的源实体。
协议攻击:通常通过消耗服务器、防火墙或者负载均衡设备之类的中间资源,使网络三层或者四层的协议的新建数、可连接数、可用状态表等达到极限,导致拒绝服务。这种攻击一般需要在恶意流量未到达站点之前就对其进行阻断,因为此类DDoS攻击就是想建立连接,并长时间占用连接。可以利用访问者识别技术将合法的访问者和恶意的客户端分开,从而缓解此类攻击。
Volumetric攻击:此类攻击近几年经常出现,也应该是提问者提到的Tb级别的攻击类型。它通常消耗目标与Internet之间的所有带宽来造成访问的阻塞。通过放大流量的形式,将大量的恶意数据发送给攻击目标。这种攻击一般需要专业的DDoS防护厂商(Arbor,Cloudflare和Akamai等),利用分布在全球的清理中心对洪水般的攻击流量进行吸收清理,极端情况下直接引入黑洞路由之类的设施进行全量丢弃。
防护的整体策略公司安全解决方案就是采用多级保护的策略,包括专业的异常流量管理系统,结合防火墙、内容过滤、负载均衡和其他的DDoS防御技术,共同配合来缓解DDoS攻击的影响。对于Tb级的DDoS攻击,我们最明智的选择是借助专业的云服务DDoS防护商。因为:1. 一般企业没有必要花费大量的资金来组建一套Tb级的防御工事;2. 我们借助于专业厂商,可以依据DDoS事件的资源使用量来付费;3. 他们的重要工作就是监视全球的最新DDoS动态,应急响应更有的放矢。
而对于我们,这样可以方便在安全性和灵活性之间找到一个属于自己公司的平衡点。比如GitHub在2018年遭受的Memcached服务器DDoS攻击,从上图可以看到其峰值达到了1.35Tbps。GitHub的防御系统面对突发的Tb级的攻击,仅仅坚持了10分钟,就顶不住了。他们找来了Akamai托管了所有访问GitHub的流量,利用后者的数据清理中心对恶意流量进行清理。
8分钟后,攻击未果,于是攻击者才就此作罢。当然云服务DDoS防护商也是按照回答开头所说的,根据不同的攻击类型进行不同的防御,只是相比于公司,其拥有更大的带宽和资源。新的趋势随着大数据和5G时代的到来,据报道将有千亿级的物联网设备会逐步联网。所以,现在DDoS攻击呈现出一种新的发展趋势:loT设备的僵尸网络。
ddos攻击成本持续走低,7美元就能打瘫一个网站,企业如何自处?
的确,以前觉得DDoS离我们很远,现在却觉得DDoS离我们很近。特别是站长朋友们,或多或少都遇到过DDoS攻击。DDoS攻击是分布式拒绝服务攻击,说得通俗易懂点,就是黑客将不计其数的计算机集中起来发号施令向被攻击站点发起请求。因为服务器都是有性能上限的,这些DDoS过来的请求本质上也是一种合理的请求(只不过短时间内的请求量过大,超出服务器的处理能力),被攻击服务器资源占满了也就使得其它合法用户无法得到服务器的响应,而且DDoS攻击种类很多。
因为DDoS的这一特点,使得DDoS的防范起来是很难的,因为我们说DDoS请求本质上也是合法的请求。而且因为某些因素使得现在发起DDoS攻击的成本很低,花很少的钱就能借助某些渠道和手段对某一目标发起攻击。DDoS攻击者的目的无非就是以下几种:黑客的“成就感”:黑客的目的就是破坏计算机系统的稳定,同时也是为了证明自己能力的一种方式,觉得自己可以控制某个系统运行的正常与否,很有“成就感”。
不良竞争:如果两个平台是竞争对手关系,不排除有不良竞争,所以DDoS攻击也是一种手段。说到这么多,那对于一般企业或个人,我们该如何尽可能避免被DDoS攻击呢?方案其实也有很多,以下列举一些供大家参考:1、隐藏服务器真实IP隐藏服务器真实IP是为了减少服务器在网络上被发现的可能,鉴于大多数攻击是没有目标性的攻击,黑客在攻击前会通过扫描的方式来发现服务器IP。
如果我们在这上面做一些处理,可以减少服务器被黑客发现的可能。这里常用手段有以下几种:使用CDN加速服务来隐藏源站服务器IP:使用CDN后,别人访问到的其实是CDN节点,这样源站IP变相被隐藏起来了。而且CDN本身就是分布式的,而且CDN厂商也都有硬防,这样极大的减少了DDoS对源站产生的风险。禁用服务器ICMP响应:禁用ICMP响应可以防止服务器被Ping通,可以过滤掉一批小黑客。
2、关闭服务器上不少要的服务及端口不少黑客在对网络上的计算机进行扫描时,也会通过一些特点端口进行扫描,比如扫描3389端口、22端口等。端口就相当于是你家的窗户,窗户太多,控制起来就难,难免有小偷从某个窗口进去了。3、限制SYN半连接数目我们通过技术手段缩短SYN半连接的timeout超时时间,限制SYN/ICMP流量也是一种常用手段。
4、DNS智能解析DNS解析也容易被人忽略,但要知道很多的攻击也是针对DNS的,如果DNS受到攻击,网站解析就无法正常进行,影响业务访问。5、IP过滤如果DDoS流量集中的来自于某一国家,我们可以将此国家的IP段封禁。6、负载均衡及缓存的合理使用我们说DDoS攻击请求也是正常合法请求,只不过请求的量超过了服务器的服务能力,那我们可以提升服务器的处理能力,负载均衡和缓存的合理使用就可以做到,集群的响应能力比单一服务器的响应能力要好得多。
7.高防御IP和硬防御部署。对于一般的中小企业来说,一级防御IP和硬防御部署都非常昂贵,所以很少使用。但是如果核心业务真的被DDoS攻击,而且持续时间比较长,可以考虑联系机房临时加高IP和硬防,另外付费。对于已经“上云”的客户,可以动态升级带宽。8.域名解析到127.0.0.1。众所周知,127.0.0.1代表客户端的本地IP。如果别人访问一个域名,域名解析IP是127.0.0.1,就访问自己的机器。
