随着DDOS攻击在互联网上的肆虐泛滥,使得DDoS的防范工作变得更加困难。数据显示,今年Q2,DDoS攻击活动创下新纪录,同比增长了132%。其中,最大规模的DDoS攻击峰值流量超过了240 Gbps,持续了13个小时以上。目前而言,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,而且攻击了也没人管,那么,广大的网站用户应该采取怎样的措施进行有效的防御呢?下面我就介绍一下防御DDoS的基本方法。
1、配置您的网络硬件以抵抗DDoS攻击
您可以购买相关的网络硬件,以帮助防止DDoS攻击。另外,配置防火墙或路由器以丢弃传入的ICMP数据包或阻止来自网络外部的DNS响应(通过阻止UDP端口53)可以帮助防止某些基于DNS和ping攻击。
2、部署防DDoS硬件和软件模块
您的服务器应该受到网络防火墙和更专业的Web应用程序防火墙的保护,并且您还应该使用负载平衡器。现在,许多硬件供应商都提供了针对DDoS协议攻击(例如SYN Flood攻击)的软件保护,例如,通过监视存在多少个不完整的连接并在数量达到可配置的阈值时刷新它们,来对其进行保护。
还可以将特定的软件模块添加到某些Web服务器软件中,以提供某些DDoS防护功能。例如,Apache 2.2.15附带了一个名为mod_reqtimeout的模块,以保护自己免受诸如Slowloris攻击之类的应用程序层攻击,该攻击会打开与Web服务器的连接,然后通过发送部分请求直到它们连接到服务器,从而尽可能长时间地保持打开状态服务器不能再接受新的连接。
3、部署DDoS保护设备
许多安全厂商,包括NetScout Arbor,Fortinet,Check Point,Cisco和Radware,都提供位于网络防火墙前面的设备,旨在阻止DDoS攻击生效。他们使用多种技术来执行此操作,包括执行流量行为基准,然后阻止异常流量,以及基于已知攻击特征阻止流量。
4、购买更多带宽
在防止DDoS攻击的所有方法中,确保您有足够的带宽来处理可能由恶意流量造成的流量峰值。随着ddos放大攻击的兴起,现在购买更多带宽提高了攻击者必须克服的障碍,攻击者要发起成功的DDoS攻击,但是就其本身而言,购买更多带宽并不是DDoS攻击解决方案。
5、尽可能将攻击引流到不同区域
为使攻击者尽可能难以成功地对服务器发起DDoS攻击,请确保使用负载平衡系统将它们分布在多个数据中心之间,并在它们之间分配流量,高防ip,高防cdn的原理针对此模型而设计的。如果可能,这些数据中心应位于不同的国家,或至少位于同一国家的不同区域。
为了使此策略真正有效,必须确保数据中心连接到不同的网络,并且这些网络上没有明显的网络瓶颈或单点故障。在地理上和地形上分布服务器将使攻击者很难成功地攻击多于一部分的服务器,而使其他服务器不受影响,并且能够承担受影响的服务器正常处理的至少一些额外流量。
这种防止DDoS攻击的方法的主要缺点在于,设备本身在处理流量方面受到限制。尽管高端设备可能能够检查高达80Gbps左右的流量,但如今的DDoS攻击很容易比这大一个数量级。