DDoS 攻击是什么?

DDoS攻击通常涉及轰炸具有大量流量的IP地址。如果IP地址指向Web服务器,则合法流量将无法与其联系,并且该网站将变得不可用。另一种类型的DoS攻击是流量攻击,其中一组服务器充斥着需要受害机器处理的请求。这些通常是由作为僵尸网络一部分的受感染机器上运行的脚本大量生成的,并导致耗尽受害者服务器的资源,如CPU或内存。

DDoS攻击的操作原理相同,但恶意流量是从多个源生成的,尽管从一个中心点进行协调。流量源分布的事实 – 通常遍布全球 – 使DDoS攻击防范比防止源自单个IP地址的DoS攻击更加困难。

防止DDoS攻击的六个步骤1.购买更多带宽

在防止DDoS攻击的所有方法中,可以采取的最基本步骤是利用服务器基础架构“防止DDoS”,这是为了确保您有足够的带宽来处理可能由恶意活动引起的流量峰值。

在过去,可以通过确保您拥有比任何攻击者可能拥有的带宽来避免DDoS攻击。但随着放大攻击的兴起,这已不再实用。相反,购买更多带宽现在提高了攻击者在发动成功的DDoS攻击之前必须克服的障碍,但就其本身而言,购买更多带宽并不是DDoS攻击解决的首要方案。

2.在基础架构中构建冗余

为了更快应对针对服务器启动的DDoS攻击,请确保将它们分散到具有良好负载均衡系统的多个数据中心,以在它们之间分配流量。如果可能,这些数据中心应位于不同的国家,或至少在同一国家的不同地区。

要使此策略真正有效,必须确保数据中心连接到不同的网络,并且这些网络上没有明显的网络瓶颈或单点故障。

从地理位置分配服务器将使攻击者难以成功攻击超过一部分服务器,使其他服务器不受影响,并且能够承担受影响的服务器通常会处理的至少一些额外流量。

3.配置网络硬件以防止DDoS攻击

您可以采取一些简单的硬件配置更改来帮助防止DDoS攻击。

例如,配置防火墙或路由器以丢弃传入的ICMP数据包或阻止来自网络外部的DNS响应(通过阻止UDP端口53)可以帮助防止某些DNS和基于ping的容量攻击。

4.部署Anti-DDoS硬件和软件模块

服务器应该受到网络防火墙和更专业的Web应用程序防火墙的保护,您也应该使用负载均衡器。许多硬件供应商现在都包括针对DDoS协议攻击(例如SYN泛洪攻击)的软件保护,例如,通过监视存在多少不完整连接并在数量达到可配置阈值时清除它们。

还可以将特定软件模块添加到某些Web服务器软件中,以提供一些DDoS防护功能。例如,Apache 2.2.15附带一个名为mod_reqtimeout的模块,以保护自己免受应用层攻击,如Slowloris攻击,它打开与Web服务器的连接,然后通过发送部分请求将其保持打开状态,直到服务器不能再接受新连接。

5.部署DDoS保护设备

包括NetScout Arbor,Fortinet,Check Point,Cisco和Radware在内的许多安全厂商都提供位于网络防火墙前的设备,旨在阻止DDoS攻击。

他们使用多种技术来实现这一点,包括执行流量行为基线,然后阻止异常流量,并根据已知的攻击签名阻止流量。

这种防止DDoS攻击的方法的主要缺点是设备本身在其可以处理的流量吞吐量方面受到限制。虽然高端设备可能能够以高达80 Gbps左右的速度检查流量,但今天的DDoS攻击可能比这更高一个数量级。

6.保护DNS服务器

恶意玩家可以通过DDoSing DNS服务器使Web服务器脱机。因此,重要的是DNS服务器具有冗余,并将它们放置在负载均衡器后面的不同数据中心。更好的解决方案甚至可能是转向基于云的DNS提供商,该提供商可以在全球数据中心提供高带宽和多个存在点。这些服务专门针对DDoS预防而设计。

结论

草根SEO博客在2019年1月8日清晨遭受DDOS流量攻击,截止2019年1月9日晚6点攻击者停止攻击,鉴于博主缺少服务器运维知识,只能依靠不断提升服务器硬件,带宽,以及DDOS流量防御包来抵挡攻击,虽然因攻击造成服务器瘫痪长达36小时,博客排名大幅度下降,但是我感谢你让我懂得了一个道理“匹夫无罪,怀璧其罪”。

声明:“本文DDOS防御策略摘自互联网如有侵权请联系删除”

防御心得:

1.提升服务器硬件与带宽(对于小型站长和企业来说,提升服务器硬件配置和带宽并不能有效抵御DDOS流量攻击,通常而言攻击者就算以抓肉鸡形式发动的攻击也是需要成本,一般流量攻击不会持续太长时间,将域名停止解析待到攻击结束重新开启即可)。

2.使用CDN加速来隐藏服务器IP,因为博主本身没有使用CDN加速,所以服务器IP直降暴漏在攻击者面前,攻击者直接对服务器进行攻击,发送大数据流量请求包以及木马病毒,造成服务器直接瘫痪,鉴于使用CDN加速来隐藏服务器的IP,这样攻击就会先经过CDN再转到服务器,可以减少流量请求。

3.使用DDOS流量防御包,鉴于高防服务器成本太高,大家在使用各大厂商的ECS服务器时,会赠送5G到20G不等的DDOS防御包,设置最低的流量清洗规则,让流量进行清洗,以减少压力。

4.在遭受长时间大范围流量攻击时,可以先暂停域名解析,然后在百度站长管理平台申请闭站保护,待到攻击结束后申请闭站恢复(慎用,闭站虽然可以保留索引,但排名可以会操守影响)。

5.提升自身服务器运维技术。

相关内容:DDOS是什么?如何防御DDOS攻击?