5828 
2023-06-28 09:55:01 分布式拒絕服務(wù)攻擊是一種協(xié)同攻擊,旨在使受害者的資源無法使用。如何有效防御DDOS攻擊成為大家關(guān)注的話題。DDoS攻擊可能持續(xù)幾分鐘、幾小時、甚至是幾天。今天快快網(wǎng)絡(luò)小編就跟大家講解下如何解決DDOS攻擊。
如何有效防御DDOS攻擊?
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力,其實原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進(jìn)行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強(qiáng)雙CPU的話就用它,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別貪圖IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、將網(wǎng)站做成靜態(tài)頁面或者偽靜態(tài)
事實證明,將網(wǎng)站做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)。現(xiàn)在很多門戶網(wǎng)站主要都是靜態(tài)頁面,若你非要動態(tài)腳本調(diào)用,那就把它弄到另外一個單獨主機(jī),免的遭受攻擊時連累主服務(wù)器。當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
6、增強(qiáng)操作系統(tǒng)的TCP/IP棧
win2000和win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵抗約10000個SYN攻擊包,若沒有開啟則僅能抵抗數(shù)百個。
如何解決DDOS攻擊?
Dos拒絕服務(wù)攻擊是通過各種手段消耗網(wǎng)絡(luò)帶寬和系統(tǒng)CPU、內(nèi)存、連接數(shù)等資源,直接造成網(wǎng)絡(luò)帶寬耗盡或系統(tǒng)資源耗盡,使得該目標(biāo)系統(tǒng)無法為正常用戶提供業(yè)務(wù)服務(wù),從而導(dǎo)致拒絕服務(wù)。常規(guī)流量型的DDos攻擊應(yīng)急防護(hù)方式因其選擇的引流技術(shù)不同而在實現(xiàn)上有不同的差異性,主要分為以下三種方式,實現(xiàn)分層清洗的效果。
1. 本地DDos防護(hù)設(shè)備
一般惡意組織發(fā)起DDos攻擊時,率先感知并起作用的一般為本地數(shù)據(jù)中心內(nèi)的DDos防護(hù)設(shè)備,金融機(jī)構(gòu)本地防護(hù)設(shè)備較多采用旁路鏡像部署方式。本地DDos防護(hù)設(shè)備一般分為DDos檢測設(shè)備、清洗設(shè)備和管理中心。首先,DDos檢測設(shè)備日常通過流量基線自學(xué)習(xí)方式,按各種和防御有關(guān)的維度。
由管理中心下發(fā)引流策略到清洗設(shè)備,啟動引流清洗。異常流量清洗通過特征、基線、回復(fù)確認(rèn)等各種方式對攻擊流量進(jìn)行識別、清洗。經(jīng)過異常流量清洗之后,為防止流量再次引流至DDos清洗設(shè)備,可通過在出口設(shè)備回注接口上使用策略路由強(qiáng)制回注的流量去往數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò),訪問目標(biāo)系統(tǒng)。
2. 運(yùn)營商清洗服務(wù)
當(dāng)流量型攻擊的攻擊流量超出互聯(lián)網(wǎng)鏈路帶寬或本地DDos清洗設(shè)備性能不足以應(yīng)對DDos流量攻擊時,需要通過運(yùn)營商清洗服務(wù)或借助運(yùn)營商臨時增加帶寬來完成攻擊流量的清洗。運(yùn)營商通過各級DDos防護(hù)設(shè)備以清洗服務(wù)的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明,運(yùn)營商清洗服務(wù)在應(yīng)對流量型DDos攻擊時較為有效。
3. 云清洗服務(wù)
當(dāng)運(yùn)營商DDos流量清洗不能實現(xiàn)既定效果的情況下,可以考慮緊急啟用運(yùn)營商云清洗服務(wù)來進(jìn)行最后的對決。依托運(yùn)營商骨干網(wǎng)分布式部署的異常流量清洗中心,實現(xiàn)分布式近源清洗技術(shù),在運(yùn)營商骨干網(wǎng)絡(luò)上靠近攻擊源的地方把流量清洗掉,提升攻擊對抗能力。
具備適用場景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實現(xiàn)引流、清洗、回注,提升抗D能力。進(jìn)行這類清洗需要較大的流量路徑改動,牽涉面較大,一般不建議作為日常常規(guī)防御手段。
如何有效防御DDOS攻擊是保障網(wǎng)絡(luò)和服務(wù)器安全的重要措施,雖然不可能完全阻止DDoS攻擊的發(fā)生,但有一些有效的做法可以幫助你檢測和停止正在進(jìn)行的DDoS攻擊。做好相應(yīng)的防護(hù)措施能把傷害減少到最小。
