如何进行ddos防御,很多企业也并没有太好的方法,只能被动防御,或者求助于安全公司。那么,正在遭受ddos攻击的企业,应该如何进行ddos防御?ddos防御多少钱?下面为大家详细介绍一下:
DDoS的攻击方式
DDoS的攻击,可以分为两种大的层次,一种是带宽消耗型,一种是资源消耗型,从网络占用到目标硬件性能占用,从而到达瘫痪网络、崩溃系统的最终目的。下面列举一些比较出名的攻击手段,并不完全。
UDP洪水攻击
UDP(User Datagram Protocol floods),用户数据包协议,是一种无连接协议,大家都知道信息交换其中有握手原则,而数据包通过UDP发送时,不需要握手验证,导致大量数据包发送给目标系统时,可能发生带宽饱和,导致正常用户的合法请求无法进行。
死亡之PING
死亡之PING(ping of death),或见死亡之平,按中文的蕴意能翻译成死亡天平,根据TCP/IP协议,可见数据包最大字节为6,5535字节,所以当这种类型的攻击方式,发送的数据包片段大小超过协议规定,计算机系统无法正常处理数据包,从而崩溃。
CC攻击
CC(Challenge Collapsar),挑战黑洞,利用大量免费代理服务器对目标服务器发送大量表面合法的请求,对目标服务器的资源进行消耗,从而使合法用户无法得到服务器响应。
DDoS的防御方式
分布式拒绝服务攻击,目前主要采用多重验证、流量过滤、入侵检测等防御方式,使阻塞带宽的网络流量过滤,让正常访问流量通过。
防火墙
最常见的是防火墙装置,因为防火墙可以更灵活的定义访问规则,允许或拒绝特定的通讯协议,IP地址或是转发端口,如果目标IP异常,可以简单的阻止IP源的一切通信,如果上升为较为复杂的端口,遭受攻击,防火墙依然有效地隔绝恶意流量。
流量清洗
顾名思义,访问流量通过DDoS清洗中心,使得正常流量和恶意流量被区分过滤,正常流量则继续访问,恶意流量则被禁止过滤。
保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。尽量把数据库和程序单独拿出根目录,更新使用的时候再放进去,尽可能把网站做成静态页面。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
隐藏服务器真实IP
服务器前端加CDN中转(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,
所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
另外,防止服务器对外传送信息泄漏IP,最常见的是,服务器不使用发送邮件功能,如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。
总之,只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的DDoS防火墙来应付了。
分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
负载均衡
负载均衡建立在现有网络结构之上,为扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性提供一种廉价有效透明的方法,CC攻击会使服务器大量的网络传输而过载,所以对DDoS流量攻击和CC攻击都很见效,用户访问速度也会加快。
优化路由及网络结构。对路由器进行合理设置,降低攻击的可能性。
启用黑名单
如果攻击IP普遍来自于某个国家或地区,那么在被攻击期间,可以将该区域来源IP加入黑名单,从而禁止特定区域访问。虽然这种做法可以有效降低风险,但也有可能将真正客户拒之门外,同样会导致部分损失。并且很难判断该IP地址是否正确,有可能攻击者可以通过工具进行伪装处理。
监控流量
安装入侵检测工具,经常扫描检查系统,解决系统的漏洞,对系统文件和应用程序进行加密,并定期检查这些文件的变化。
DDOS攻击的原理如果简单的说,就是通过大量流量消耗服务器资源,因此,监控网络流量十分重要。如果网站在某个时刻突然获得远超日常的流量,那么很可能是DDOS攻击的一个危险信号,在监控工具中设置访问人数阈值,超过时自动提醒,可以帮助企业最快反应。
接入高防服务
日常网络安全防护对一些小流量DDOS攻击能够起到一定的防御效果,但如果遇到大流量洪水DDOS攻击,最直接的办法就是接入专业的DDOS高防服务,建议接入墨者盾,通过墨者盾高防隐藏源IP,对攻击流量进行清洗,保障企业服务器的正常运行。
ddos防御多少钱
对于不懂ddos防御的企业来说,最好的选择就是和专业的安全公司合作。在费用上,ddos防御的收费一般是根据流量和具体的服务来收取的,每个厂家的收费标准都不同,应该根据自己的需求来选择。
普通的ddos防御价格在数千至数万不等,如果有更高需求的话,那就需要专门定制服务了。