 當(dāng)前位置:首頁(yè) > - 建站知識(shí) |
DDoS(分布式拒絕服務(wù)攻擊)是什么?如何避免?
|
| 發(fā)布時(shí)間:2022-6-29 20:42:23 來(lái)源:飛揚(yáng)互動(dòng) 瀏覽次數(shù):2579 |
分布式拒絕服務(wù)攻擊(DDoS)是目前黑客經(jīng)常采用而難以防范的攻擊手段。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)。 DDOS攻擊手段是在傳統(tǒng)的DOS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一般是采用一對(duì)一方式的,當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。
DDoS攻擊五花八門,防不勝防,當(dāng)你想建立一個(gè)防御系統(tǒng)對(duì)抗DDoS的時(shí)候,你需要掌握這些攻擊的變異形態(tài)。
最笨的防御方法,就是花大價(jià)錢買更大的帶寬。拒絕服務(wù)就像個(gè)游戲一樣。如果你使用10000個(gè)系統(tǒng)發(fā)送1Mbps的流量,那就意味著你輸送給你的服務(wù)器每秒鐘10Gb的數(shù)據(jù)流量。這就會(huì)造成擁堵。這種情況下,同樣的規(guī)則適用于正常的冗余。這時(shí),你就需要更多的服務(wù)器,遍布各地的數(shù)據(jù)中心,和更好的負(fù)載均衡服務(wù)了。將流量分散到多個(gè)服務(wù)器上,幫助你進(jìn)行流量均衡,更大的帶寬能夠幫你應(yīng)對(duì)各種大流量的問(wèn)題。但現(xiàn)代的DDoS攻擊越來(lái)越瘋狂,需要的帶寬越來(lái)越大,你的財(cái)政狀況根本不允許你投入更多的資金。另外,絕大多數(shù)的時(shí)候,你的網(wǎng)站并不是主要攻擊目標(biāo),很多管理員都忘了這一點(diǎn)。
網(wǎng)絡(luò)中最關(guān)鍵的一塊就是DNS服務(wù)器。將DNS解析器處于開(kāi)放狀態(tài)這是絕對(duì)不可取的,你應(yīng)當(dāng)把它鎖定,從而減少一部分攻擊風(fēng)險(xiǎn)。但這樣做了以后,我們的服務(wù)器就安全了嗎?答案當(dāng)然是否定的,即使你的網(wǎng)站,沒(méi)有一個(gè)可以鏈接到你的DNS服務(wù)器,幫你解析域名,這同樣是非常糟糕的事情。大多數(shù)完成注冊(cè)的域名需要兩個(gè)DNS服務(wù)器,但這遠(yuǎn)遠(yuǎn)不夠。你要確保你的DNS服務(wù)器以及你的網(wǎng)站和其他資源都處于負(fù)載均衡的保護(hù)狀態(tài)下。你也可以使用一些公司提供的冗余DNS。比如,有很多人使用內(nèi)容分發(fā)網(wǎng)絡(luò)(分布式的狀態(tài))給客戶發(fā)送文件,這是一種很好的抵御DDoS攻擊的方法。若你需要,也有很多公司提供了這種增強(qiáng)DNS的保護(hù)措施。
若是你自己管理你的網(wǎng)絡(luò)和數(shù)據(jù),那么就需要著重保護(hù)你的網(wǎng)絡(luò)層,要進(jìn)行很多配置。首先確保你所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包,剔除掉一些不用的協(xié)議,比如ICMP這種的。然后設(shè)置好防火墻。很顯然,你的網(wǎng)站永遠(yuǎn)不會(huì)讓隨機(jī)DNS服務(wù)器進(jìn)行訪問(wèn),所以沒(méi)有必要允許UDP 53端口的數(shù)據(jù)包通過(guò)你的服務(wù)器。此外,你可以讓你的供應(yīng)商幫你進(jìn)行一些邊界網(wǎng)絡(luò)的設(shè)置,阻止一些沒(méi)用的流量,保證你能夠得到一個(gè)最大的最通暢的帶寬。很多網(wǎng)絡(luò)供應(yīng)商都給企業(yè)提供這種服務(wù),你可以與其網(wǎng)絡(luò)運(yùn)營(yíng)中心聯(lián)系,讓他們幫你優(yōu)化流量,幫你監(jiān)測(cè)一下你是否到了攻擊。
最后,你還得想想如何在這些攻擊到達(dá)你網(wǎng)站前就將它們攔截住。例如,現(xiàn)代網(wǎng)站應(yīng)用了許多動(dòng)態(tài)資源。在受到攻擊的時(shí)候其實(shí)帶寬是比較容易掌控的,但最終往往受到損失的是數(shù)據(jù)庫(kù)或是你運(yùn)行的腳本程序。你可以考慮使用緩存服務(wù)器提供盡可能多的靜態(tài)內(nèi)容,還要快速用靜態(tài)資源取代動(dòng)態(tài)資源并確保檢測(cè)系統(tǒng)正常運(yùn)行。
|
|
|
熱門區(qū)域
