行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
面对猖狂的ddos,如何解决ddos攻击?
2021-06-11 16:48:57 【

面对日益复杂的DDoS攻击环境,现阶段CDN扮演的角色准确的说更像是一块安全防御盾牌!


首先关于什么是DDoS攻击?

DDoS 里面的 DoS 是 denial of service(停止服务)的缩写,表示这种攻击的目的,就是使得服务中断。最前面的那个 D 是 distributed (分布式),表示攻击不是来自一个地方,而是来自四面八方,因此更难防。你关了前门,他从后门进来;你关了后门,他从窗口跳进来。

DDoS攻击是一种最常见的网络攻击,它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址,然后分别向服务器端发送大量的SYN包,这个时候服务器端会返回SYN/ACK 包,而伪造的IP端不会应答,服务器端没有收到伪造的IP的回应,会进行重试机制,3~5次并等待一个SYN的时间(30s-2min),如果超时则丢弃。
这其实就是 DDoS 攻击,在短时间内发起大量请求,耗尽服务器的资源,无法响应正常的访问,造成网站实质下线。

CDN 面对DDoS能够做什么?

关于CDN各位应该都不陌生,CDN拥有最强大的宽带,单个节点承受能力强,能够有效的针对网站进行突发情况流量管理,预防存在流量以及数量增加等相关状况出现。CDN已经从过去的网页缓存、网页动态加速的功能到如今兼具着保护网站不被攻击的使命和责任。
具体而言,CDN在相关节点中成功建立动态加速机制以及智能沉于等机制,这种机制能够帮助网站流量访问分配到每一个节点中,智能的进行流量分配机制。一旦遇到CDN存在被DDoS攻击的情况,CDN整个系统就能够将被攻击的流量分散开,节省了站点服务器的压力以及节点压力。同时,CDN还能够增强网站被黑客给攻击的难度,从而实现降低DDoS攻击对网站带来的危害。
其实一般情况下CDN是缓解DDoS的攻击,一般CDN会在各个省市分配一些IP地址,再通过智能DNS的方式在每个省市解析出最近的IP地址。攻击者一看你的网站IP地址这么多,通常便会放弃攻击。

案例分享:参阅自:GitHub遭受有史以来最严重DDoS攻击
北京时间2018年3月1日1点15分,知名代码托管网站GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了1.35Tbps,最后是依靠某CDN服务商防御化解了此次危机。

不过,想要彻底解决或者避免DDoS的攻击目前看并不太现实。

无论是一般CDN作为防御方案的选择,还是其他防御措施的补强,对于90%的攻击是可以安全保障的。但是,随着越来越复杂的新型攻击方式,企业也需要根据自身的行业情况和环境做好自身的安全部署和增强,尤其是DDoS攻击的重灾区:游戏行业。


一般会有几种方式:

方法1:

路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品,假如攻击发生的时候用流量限制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP

方法二

在应用程序中对每个“客户端”做一个请求频率的限制,或者从网站的代码上实行优化。将数据库压力转到内存中,及时的释放资源。显示每个IP地址的请求频率,根据IP 地址和 User Agent 字段,进行过滤。

方法三

部署CDN,CDN可以把网站的静态内容分发到多个服务器,可以进行带宽扩容,增大访问量,提高承受攻击的能力。



为何DDoS难杜绝?

TCP/IP协议的天生自带的坑
DDoS攻击最大的特点,是通过集中控制海量「肉鸡」,同时向目标发起攻击。DDoS攻击实际上就就是攻击者在挑战网站的带宽和资源。这种攻击并不是利用网站自身的特定漏洞去完成,而是利用TCP/IP协议的天生缺陷。只要互联网用的还是TCP协议,那么DDoS攻击就不会消亡。
因为难溯源,所以攻击者便更加有似无恐
DDoS从攻击指令发出端,到实际攻击的服务器,中间可能经过了数道跳转,再加上IP伪造等技术,查到攻击源头非常困难。想做到溯源追凶,需要投入极高的成本,并且需要经验丰富的攻防专家或团队来完成,对于绝大多数企业都无能为力也不会选择这样做。
白菜价成本,黄金价回报,DDoS已经形成了一条成熟的灰色产业链
DDoS伴随着中国互联网发展的也在不断的进行着自我的进化和升级,这其中就包括了这条黑产的上下游的不断完善,已然呈现出智能化、平台化、产业化的特征,分工鲜明、成本廉价、利益巨大。
以往如果想要DDoS发起攻击,攻击者需要具备一定的黑客技能,如今伴随着智能化攻击平台的出现,攻击方并不需要多么高深的专业黑客知识,只需要轻点鼠标即可发起攻击,而且此类攻击占比近7成。此外,随着木马等的恶意泛滥使得「肉鸡」的数量呈爆发式增长,黑客发起DDoS攻击的成本实际上随着时间的推移是越来越低。
此外,由于个人和企业的带宽使用规模的逐年增加,智能家居和物联网设备的大量使用,薄弱的安全防护能力给了攻击者更多可利用的机会,更容易形成大规模的攻击设备集群。

简单来说,对于企业而言,需要结合自身的环境和情况,做好DDOS的防御工作,把损失和风险降到最小!


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇这些网络安全知识,你必须知道! 下一篇网站服务器安全维护从三个维度来..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800