DDoS攻击的危害很大,并且是很难进行防范的,DDOS攻击严重时会直接导致网站无法被正常访问、服务器直接瘫痪、直接对经营方造成一定的财产损失,DDOD攻击目前几乎在网络行业的各行各业都有存在。那么面对DDOS攻击,我们应该如何进行防护工作呢?
DDoS防御是一种资源对抗的防御,攻击者由于采用的是违法手段获取的失陷主机(肉鸡),所以攻击成本远远小于防御成本,这是攻防不对等的原因。
一般认为防御DDoS攻击最有效的方式是使用清洗设备对所有流量进行“清洗”,尽可能的筛去攻击流量,然后将剩余流量给与到应用服务器。但是不是所有的DDoS攻击都适用清洗方法。需要根据不同种类针对性的分析和解决。
3.1 基于流量的 DDoS 攻击
•分析
1)从系统管理员角度很难缓解此类攻击,需要借助ISP的帮助。
2)但是大多数ISP和转接提供商将主动了解正在发生的事情并为您的服务器发布黑洞路由。这意味着他们通过0.0.0.0以下方式以尽可能低的成本向您的服务器发布路由:它们使您的服务器的流量不再可在Internet上路由。这其实对你没有任何帮助; 目的是保护ISP的网络不受大洪水的影响。在此期间,您的服务器将失去Internet访问权限。
•解决方案
1)关于这个问题,当攻击已经发生时你几乎无能为力。
2)最好的长期解决方案是在互联网上的许多不同位置托管您的服务,这样对于攻击者来说他的DDoS攻击成本会更高。
3)这方面的策略取决于您需要保护的服务; DNS可以使用多个权威名称服务器,具有备份MX记录和邮件交换器的SMTP以及使用循环DNS或多宿主的HTTP进行保护(但是在某段时间内可能会出现一些明显的降级)。
4)负载均衡设备并不是解决此问题的有效方法,因为负载均衡设备本身也会遇到同样的问题并且只会造成瓶颈。
5)IPTables或其他防火墙规则无济于事,因为问题是您的管道已经饱和。 一旦防火墙看到连接,就已经太晚了 ; 您的网站带宽已被消耗。你用连接做什么都没关系; 当传入流量恢复正常时,攻击会缓解或完成。
6)内容分发网络(CDN)以及专业安全与网络性能公司的DDoS清理服务。这将是缓解这些类型的攻击的积极措施,并且在许多不同的地方拥有大量的可用带宽。请注意:要隐藏服务器的IP。
7)此外一些VPS和托管服务提供商、云计算厂商在减轻这些攻击方面比其他提供商更好。因为规模越大,会拥有更大带宽,自然也会更有弹性。
3.2 基于负载的 DDoS 攻击
•分析
这种攻击的基础是让你的服务做很多昂贵的事情。这可能就像打开庞大数量的TCP连接并强迫您维护它们的状态,或者将过多或大量的文件上传到您的服务,或者可能进行非常昂贵的搜索,或者真正做任何昂贵的处理。流量在您计划和可以承担的范围内,但是所提出的请求类型太昂贵,无法处理这么多。
如果是遇到这种类型的攻击,有可能你的配置存在错误,或者程序存在 bug 。如:
1) 您可能打开了过于冗长的日志记录,并且可能将日志存储在写入速度非常慢的内容上。如果有人意识到这一点,并做了很多导致你将大量日志写入磁盘的东西,那么你的服务器就会慢慢爬行。
2)您的应用软件有可能在输入场景下做了大量极端低效的操作。如果程序或进程很多情况将更加明显,比如有很多的状态开放连接,或者很多的子进程。这些 bug 也将被攻击者利用和放大。
•解决方案
1) 通过防火墙丢弃流量是常见方案,尤其是对于有一些特定特性的流量,在流量很小的时候可以通过 tcpdump 抓包分析,在防火墙上配置。
2)修复软件 bug ;检查进程和子进程,限制传入请求、每个IP的连接数、及允许的子进程数。
3)修复配置错误,比如:将生产系统上的日志记录调低到合理的水平(因程序而异,通常涉及确保“调试”和“详细”日志记录级别关闭;日志记录适当即可,不需太冗长);
4)毫无疑问,配置越高,抵抗此类攻击效果会越好。所以不要过于吝啬你的CPU、内存,确保应用程序与后端数据库和磁盘存储等连接快速可靠。
3.3 基于漏洞的 DDoS 攻击
•分析
类似于基于负载的DoS,并且具有基本相同的原因和解决方案。
不同之处仅在于,在这种情况下,错误不会导致您的服务器浪费,而是会直接死亡。攻击者通常利用远程崩溃漏洞,例如乱码输入,导致无法解除引用或服务中的某些内容。
•解决方案
处理这类攻击的方法,类似于处理未经授权的远程访问攻击。
1)可以针对发起主机和固定的流量类型配置防火墙。
2)如果可以的话,使用验证反向代理。
3)收集证据(尝试捕获一些流量),向供应商提交bug,并考虑针对来源寻求法律申诉。
4)攻击者如果可以找到漏洞,这些攻击的发起成本会相当便宜,并且它们可以非常直接有效,但也相对容易追踪和停止。
5)需要注意的是,对基于流量的DDoS有用的技术通常对基于漏洞的DoS无用。
DDOS攻击解决方法
1、使用高防服务器
同和合理的使用高防主机可以更好的防止企业的因为DDOS攻击而造成无法正常访问的症状,高防主机不仅在防御性能上比一般服务器要好,在整体的服务器配置上也会相对于普通服务器要高一些,所以使用起来的综合性能要更好一些。
2、确保服务器系统的安全
使用高防主机后,也需要确保服务器软件没有任何漏洞,防止攻击者入侵。并进行好定期的漏洞扫描工作防止因为系统漏洞的原因,导致攻击者入侵,造成不可挽回的后果。
3、隐藏源站真实IP
大部分的DDOS攻击都是针对于IP的一种流量型攻击,所以保护好源站IP是一件至关重要的事情。隐藏源站IP,我们可以通过高防CDN、高防IP等建立于服务器基础之上的防御产品去进行服务器IP的隐藏。通过使用这类增值性产品后,服务器的IP会进行相应的解析,外界访问时将看不到真实的服务IP。
以上就是关于面对DDOS攻击,我们常见的几种防护方式了,大家可以依据自己站点的实际情况去选用适合的防护方式,当然如果网站攻击不是特别大,选用适合防御值的高防服务器即可,如果网站经常被攻击或攻击值比较大,选用适合的防御产品对源站IP进行隐藏还是比较有效的。