4423 
2023-05-13 11:00:01 網站被DDOS攻擊了怎么辦?不少企業都遭遇過黑客的DDoS攻擊來,導致資源被耗盡,服務、應用程序或網站崩潰,相信企業都對之深惡痛絕。如何防范服務器被攻擊這是大家都很關注的話題,畢竟隨著網絡技術的發展,DDoS攻擊變得越來越猖狂。
網站被DDOS攻擊了怎么辦
第一、服務器部署硬件防火墻
大部分人第一時間想到的應該跟小編一樣,都是在我們的服務器上部署硬件防火墻來攔截惡意請求,以此達到過濾清晰流量的目的。但是如果我們防火墻的負載能力有限,而攻擊的流量足夠打穿防火墻,那么服務器一樣還是會宕機的。還有一種情況是自身服務器寬帶太小,即使攔截了大部分攻擊,仍會有一小部分惡意流量回源,從而造成了源站的壓力過大,網站無法打開。而且大部分的防火墻都只能檢測網絡層數據,到了應用層硬件防火墻也無能為力。
第二、加大服務器寬帶
能否抵抗DDoS攻擊有很大一部分因素跟我們自身服務器寬帶有關,寬帶足夠大雖然不一定就一定能抗住,但小的話一定扛不住,我們的服務器帶寬從根本上決定了我們能抗住多大的惡意流量請求。一般來說小公司的網站寬帶都不會超過100M,在國內來說超過100M的服務器且又是優質的帶寬資源,那成本將會成為一個難題。DDoS往往喜歡通過操作肉雞、服務器等僵尸機來發包,理論上來說他控制得越多,打出來的攻擊也越大。同樣的,他打,我們加寬帶,只要我們加的夠多理論上也能防住DDoS攻擊。這是一個笨蛋法,但對于一些小黑客來說確實有用,就是對很多公司來說成本太昂貴。
第三、停止不必要的端口與服務
對于服務器來說,暴露在公網中能開放的端口越少越好,因為每個端口都可能成為黑客利用的入口,開放越多,等于給黑客的機會越多,如果我們客戶自身有其他特殊需求那就另算,當我們完全從安全的角度出發,不必要的都需要我們關閉,非專業機構授權的服務也不要開啟,很容易出現漏洞,讓犯罪分子有機可乘。
第四、CDN高防接入
對于我們網站運維人員來說,DDoS攻擊的頻繁出現絕對會造成一定的客戶流失,所以接入高防節點CDN是不二之選,擁有高防服務器的CDN服務商,不僅能在緩存上給網站幫助,提升用戶打開速度,還能隱藏源站ip保護源站不受惡意請求影響,可謂一舉多得。速度快防護又高的CDN服務商已經不多了,像劍盾云這種中型服務商就是一家,很多服務商像阿里云、騰訊云都把加速跟防護分開按流量計費了。
第五、提升系統吞吐量
我們可以通過制定負載均衡策略來篩選惡意請求,但完美的策略往往意味著更多的資金投入,想要完美解決攻擊問題,那肯定是要在安全策略上花費不少的投入,小編認為保護系統數據安全和提高系統性能是應對DDoS的有效方法之一。
如何防范服務器被攻擊
不管哪種DDoS攻擊,,當前的技術都不足以很好的抵御。現在流行的DDoS防御手段——例如黑洞技術和路由器過濾,限速等手段,不僅慢,消耗大,而且同時也阻斷有效業務。如IDS入侵監測可以提供一些檢測性能但不能緩解DDoS攻擊,防火墻提供的保護也受到其技術弱點的限制。其它策略,例如大量部署服務器,冗余設備,保證足夠的響應能力來提供攻擊防護,代價過于高昂。
黑洞技術
黑洞技術描述了一個服務提供商將指向某一目標企業的包盡量阻截在上游的過程,將改向的包引進“黑洞”并丟棄,以保全運營商的基礎網絡和其它的客戶業務。但是合法數據包和惡意攻擊業務一起被丟棄,所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業務服務,攻擊者因而獲得勝利。
路由器
許多人運用路由器的過濾功能提供對DDoS攻擊的防御,但對于現在復雜的DDoS攻擊不能提供完善的防御。
路由器只能通過過濾非基本的不需要的協議來停止一些簡單的DDoS攻擊,例如ping攻擊。這需要一個手動的反應措施,并且往往是在攻擊致使服務失敗之后。另外,現在的DDoS攻擊使用互聯網必要的有效協議,很難有效的濾除。路由器也能防止無效的或私有的IP地址空間,但DDoS攻擊可以很容易的偽造成有效IP地址。
基于路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防御現在的DDoS攻擊,因為uRPF的基本原理是如果IP地址不屬于應該來自的子網網絡阻斷出口業務。然而,DDoS攻擊能很容易偽造來自同一子網的IP地址,致使這種解決法案無效。
防火墻
首先防火墻的位置處于數據路徑下游遠端,不能為從提供商到企業邊緣路由器的訪問鏈路提供足夠的保護,從而將那些易受攻擊的組件留給了DDoS攻擊。此外,因為防火墻總是串聯的而成為潛在性能瓶頸,因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。
其次是反常事件檢測缺乏的限制,防火墻首要任務是要控制私有網絡的訪問。一種實現的方法是通過追蹤從內側向外側服務發起的會話,然后只接收“不干凈”一側期望源頭發來的特定響應。然而,這對于一些開放給公眾來接收請求的服務是不起作用的,比如Web、DNS和其它服務,因為黑客可以使用“被認可的”協議(如HTTP)。
第三種限制,雖然防火墻能檢測反常行為,但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到,防火墻能停止與攻擊相聯系的某一特定數據流,但它們無法逐個包檢測,將好的或合法業務從惡意業務中分出,使得它們在事實上對IP地址欺騙攻擊無效。
IDS入侵監測
IDS解決方案將不得不提供領先的行為或基于反常事務的算法來檢測現在的DDoS攻擊。但是一些基于反常事務的性能要求有專家進行手動的調整,而且經常誤報,并且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。
作為DDoS防御平臺的IDS最大的缺點是它只能檢測到攻擊,但對于緩和攻擊的影響卻毫無作為。IDS解決方案也許能托付給路由器和防火墻的過濾器,但正如前面敘述的,這對于緩解DDoS攻擊效率很低,即便是用類似于靜態過濾串聯部署的IDS也做不到。
DDoS攻擊的手動響應
作為DDoS防御一部份的手動處理太微小并且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨干網承載商——嘗試識別該消息來源。對于地址欺騙的情況,嘗試識別消息來源是一個長期和冗長的過程,需要許多提供商合作和追蹤的過程。即使來源可被識別,但阻斷它也意味同時阻斷所有業務——好的和壞的。
以上就是關于網站被DDOS攻擊了怎么辦的相關處理方式,這幾招幫你防止、減輕DDoS攻擊的辦法你收藏了嗎?學會多種防御手段,在遇到DDoS攻擊的時候不至于手忙腳亂,時刻維護自己的網絡安全。
