可以說,ddos是目前最兇猛、最難防禦的網路攻擊之一。現實情況是,這個世界級難題還沒有完美的、徹底的解決辦法,但採取適當的措施以降低攻擊帶來的影響、減少損失是十分必要的。將ddos防禦作為整體安全策略的重要部分來考慮,防禦ddos攻擊與防資料洩露、防惡意植入、反病毒保護等安全措施同樣不可或缺。
首先,防禦ddos攻擊是乙個系統化的工程,僅僅依靠某種操作、某個服務就實現全壘打很傻很天真,就如同預防流行感冒一樣,既要穿著保暖,又要注意飲食,還要加強鍛鍊。根據攻擊流量大小等實際情況靈活應對,採取多種組合,定製策略才能更好地實現防禦效果。畢竟,攻擊都流行走混合路線了,防禦怎麼還能一種功夫包打全能。
其次,由於ddos攻擊和防禦都面臨著成本開支,當我們的防禦強度逐步增加,攻擊成本也對應上公升,當大部分攻擊者無法持續而選擇放棄,那防禦就算成功了。也因此我們需要明白,防禦措施、抗d服務等都只是一種「緩解」**,而不是一種「**」方案,我們談防禦是通過相應的舉措來減少ddos攻擊對企業業務的影響,而不是徹底**ddos攻擊。
基於以上,我們將從三個方面(網路設施、防禦方案、預防手段)來談談抵禦ddos攻擊的一些基本措施、防禦思想及服務方案。
一.網路裝置設施
網路架構、設施裝置是整個系統得以順暢運作的硬體基礎,用足夠的機器、容量去承受攻擊,充分利用網路裝置保護網路資源是一種較為理想的應對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問使用者、奪取使用者資源之時,自己的能量也在逐漸耗失。相應地,投入資金也不小,但網路設施是一切防禦的基礎,需要根據自身情況做出平衡的選擇。
擴充頻寬硬抗
網路頻寬直接決定了承受攻擊的能力,國內大部分**頻寬規模在10m到100m,知名企業頻寬能超過1g,超過100g的基本是專門做頻寬服務和抗攻擊服務的**,數量屈指可數。但ddos卻不同,攻擊者通過控制一些伺服器、個人電腦等成為肉雞,如果控制1000臺機器,每台頻寬為10m,那麼攻擊者就有了10g的流量。當它們同時向某個**發動攻擊,頻寬瞬間就被佔滿了。增加頻寬硬防護是理論最優解,只要頻寬大於攻擊流量就不怕了,但成本也是難以承受之痛,國內非一線城市機房頻寬**大約為100元/m*月,買10g頻寬頂一下就是100萬,因此許多人調侃拼頻寬就是拼人民幣,以至於很少有人願意花**買大頻寬做防禦。
使用硬體防火牆
許多人會考慮使用硬體防火牆,針對ddos攻擊和黑客入侵而設計的專業級防火牆通過對異常流量的清洗過濾,可對抗syn/ack攻擊、tcp全連線攻擊、刷指令碼攻擊等等流量型ddos攻擊。如果**飽受流量攻擊的困擾,可以考慮將**放到ddos硬體防火牆機房。但如果**流量攻擊超出了硬防的防護範圍(比如200g的硬防,但攻擊流量有300g),洪水瞞過高牆同樣抵擋不住。值得注意一下,部分硬體防火牆基於包過濾型防火牆修改為主,只在網路層檢查資料報,若是ddos攻擊上公升到應用層,防禦能力就比較弱了。
選用高效能裝置
除了防火牆,伺服器、路由器、交換機等網路裝置的效能也需要跟上,若是裝置效能成為瓶頸,即使頻寬充足也無能為力。在有網路頻寬保證的前提下,應該盡量提公升硬體配置。
二、有效的抗d思想及方案
硬碰硬的防禦偏於「魯莽」,通過架構布局、整合資源等方式提高網路的負載能力、分攤區域性過載的流量,通過接入第三方服務識別並攔截惡意流量等等行為就顯得更加「理智」,而且對抗效果良好。
負載均衡
普通級別伺服器處理資料的能力最多只能答覆每秒數十萬個鏈結請求,網路處理能力很受限制。負載均衡建立在現有網路結構之上,它提供了一種廉價有效透明的方法擴充套件網路裝置和伺服器的頻寬、增加吞吐量、加強網路資料處理能力、提高網路的靈活性和可用性,對ddos流量攻擊和cc攻擊都很見效。cc攻擊使伺服器由於大量的網路傳輸而過載,而通常這些網路流量針對某乙個頁面或乙個鏈結而產生。在企業**加上負載均衡方案後,鏈結請求被均衡分配到各個伺服器上,減少單個伺服器的負擔,整個伺服器系統可以處理每秒上千萬甚至更多的服務請求,使用者訪問速度也會加快。
cdn流量清洗
cdn是構建在網路之上的內容分發網路,依靠部署在各地的邊緣伺服器,通過中心平台的分發、排程等功能模組,使使用者就近獲取所需內容,降低網路擁塞,提高使用者訪問響應速度和命中率,因此cdn加速也用到了負載均衡技術。相比高防硬體防火牆不可能扛下無限流量的限制,cdn則更加理智,多節點分擔滲透流量,目前大部分的cdn節點都有200g 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的ddos攻擊了。
分布式集群防禦
分布式集群防禦的特點是在每個節點伺服器配置多個ip位址,並且每個節點能承受不低於10g的ddos攻擊,如乙個節點受攻擊無法提供服務,系統將會根據優先順序設定自動切換另乙個節點,並將攻擊者的資料報全部返回傳送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
三.預防為主保安全
ddos的發生可能永遠都無法預知,而一來就兇猛如洪水決堤,因此**的預防措施和應急預案就顯得尤為重要。通過日常慣性的運維操作讓系統健壯穩固,沒有漏洞可鑽,降低脆弱服務被攻陷的可能,將攻擊帶來的損失降低到最小。
篩查系統漏洞
及早發現系統存在的攻擊漏洞,及時安裝系統補丁,對重要資訊(如系統配置資訊)建立和完善備份機制,對一些特權賬號(如管理員賬號)的密碼謹慎設定,通過一系列的舉措可以把攻擊者的可乘之機降低到最小。計算機緊急響應協調中心發現,幾乎每個受到ddos攻擊的系統都沒有及時打上補丁。統計分析顯示,許多攻擊者在對企業的攻擊中獲得很大成功,並不是因為攻擊者的工具和技術如何高階,而是因為他們所攻擊的基礎架構本身就漏洞百出。
系統資源優化
合理優化系統,避免系統資源的浪費,盡可能減少計算機執行少的程序,更改工作模式,刪除不必要的中斷讓機器執行更有效,優化檔案位置使資料讀寫更快,空出更多的系統資源供使用者支配,以及減少不必要的系統載入項及自啟動項,提高web伺服器的負載能力。
過濾不必要的服務和埠
就像防賊就要把多餘的門窗關好封住一樣,為了減少攻擊者進入和利用已知漏洞的機會,禁止未用的服務,將開放埠的數量最小化就十分重要。埠過濾模組通過開放或關閉一些埠,允許使用者使用或禁止使用部分服務,對資料報進行過濾,分析埠,判斷是否為允許資料通訊的埠,然後做相應的處理。
對抗ddos攻擊是乙個涉及很多層面的問題,抗ddos需要的不僅僅是乙個防禦方案,乙個裝置,更是乙個能制動的團隊,乙個有效的機制。我們都聽過一句話——god helps those who help themselves. 天助自助者。因此,面對攻擊大家需要具備安全意識,完善自身的安全防護體系才是正解。隨著網際網路業務的越發豐富,可以預見ddos攻擊還會大幅度增長,攻擊手段也會越來越複雜多樣。安全是一項長期持續性的工作,需要時刻保持一種警覺,更需要全社會的共同努力。
**自:
探索自我的十個方法 1
探索自我的十個方法 1 自我盤點 1 我的生命線 q 為什麼要寫生命線?a 生命線簡單來說就是你給自己的壽命定個期限,然後按照時間順序來自由確定你人生的大事件。寫生命線的目的是你讓對自己的人生有所展望和安排,以增加人生的目的性和規劃性,為創造理想人生打下基礎。q 怎麼寫生命線?a 生命線的時間確定於...
提高PR值的十個方法
2.經常到一些pr值高的論壇發布資訊,在發布資訊的時候要記得帶上簽名,簽名裡一般都可以帶上 注意不要隨意發廣告資訊,好的論壇一般都有管理員在審核,實發現你的ip很容易很遮蔽了。3程式設計客棧.把好文章提交到專業的文章目錄,在國外有許多專業的英文文章目錄。如果你寫了一文章,它只會給你帶來很低的pr值,...
上班族對付春睏的十個小招
上班族對付春睏的十個小招 1,利用茶和咖啡 昏頭昏腦時,最簡單的辦法便是給自己泡一杯濃茶或者咖啡。這些飲料提神醒腦,從古至今都很有效。同時,從起身 洗杯子,到飲水機旁倒水,整個動作過程都會給你帶來片刻的清醒。趁這段清醒,趕緊投入你的工作,但要注意的是茶杯不要亂放,否則一走神,灑得鋪天蓋地,你倒是真的...