4730 
2023-06-27 10:22:01 從DDOS攻擊的類型上,主要分為流量型攻擊和應(yīng)用型攻擊。如何有效防御DDOS攻擊十分重要,對(duì)于大部分企業(yè)來說做好安全防護(hù)能夠保障網(wǎng)絡(luò)安全和服務(wù)器的安全使用。提前采取有效的安全防護(hù)措施,網(wǎng)絡(luò)將不再脆弱。
如何有效防御DDOS攻擊?
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡單,因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算,因此浪費(fèi)了很多CPU的時(shí)間,但有些時(shí)候必須使用NAT,那就沒有好辦法了。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M,這點(diǎn)一定要搞清楚。
4、升級(jí)主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量提升硬件配置,要有效對(duì)抗每秒10萬個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強(qiáng)雙CPU的話就用它,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別貪圖IDE價(jià)格不貴量還足的便宜,否則會(huì)付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
事實(shí)證明,將網(wǎng)站做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。現(xiàn)在很多門戶網(wǎng)站主要都是靜態(tài)頁面,若你非要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一個(gè)單獨(dú)主機(jī),免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因?yàn)榻?jīng)驗(yàn)表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
怎么防御DDoS攻擊?
網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ),用足夠的機(jī)器、容量去承受攻擊,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失。相應(yīng)地,投入資金也不小,但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ),需要根據(jù)自身情況做出平衡的選擇。
1. 擴(kuò)充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力,國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M,知名企業(yè)帶寬能超過1G,超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站,數(shù)量屈指可數(shù)。但DDoS卻不同,攻擊者通過控制一些服務(wù)器、個(gè)人電腦等成為肉雞,如果控制1000臺(tái)機(jī)器,每臺(tái)帶寬為10M,那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調(diào)侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價(jià)買大帶寬做防御。
2. 使用硬件防火墻
許多人會(huì)考慮使用硬件防火墻,針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過對(duì)異常流量的清洗過濾,可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應(yīng)用層,防御能力就比較弱了。
3. 選用高性能設(shè)備
除了防火墻,服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上,若是設(shè)備性能成為瓶頸,即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下,應(yīng)該盡量提升硬件配置。
硬碰硬的防御偏于“魯莽”,通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載的流量,通過接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”,而且對(duì)抗效果良好。
4. 負(fù)載均衡
普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個(gè)鏈接請(qǐng)求,網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性,對(duì)DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載,而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后,鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上,減少單個(gè)服務(wù)器的負(fù)擔(dān),整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請(qǐng)求,用戶訪問速度也會(huì)加快。
5. CDN流量清洗
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺(tái)的分發(fā)、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡(luò)擁塞,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節(jié)點(diǎn)分擔(dān)滲透流量,目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,再加上硬防的防護(hù),可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。這里我們推薦一款高性比的CDN產(chǎn)品:百度云加速,非常適用于中小站長防護(hù)。
有效防御DDOS攻擊能提高企業(yè)的服務(wù)器安全使用,在所有的網(wǎng)絡(luò)攻擊方式中,DDoS是最常見也是最高頻的攻擊方式之一。這也讓企業(yè)很容易受到攻擊,業(yè)務(wù)的受損傷害非常大,所以及時(shí)做好防護(hù)措施相當(dāng)重要。
