行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
企业级DDoS攻击实用防御手段
2021-09-27 15:49:42 【
根据Link11组织发布的一份针对DDoS的研究报告显示,2021年上半年DDoS攻击次数创下历史新高,与去年同期相比,攻击数量增加了33%。



安全专家表示,DDoS活动的规模已远超前几年,因此受到严重安全漏洞威胁的企业数量急剧上升。DDoS攻击可能导致受害企业经济受损和敏感数据泄漏。这意味着我们需要在检测和抵御攻击方面寻求相应的解决方案。


*DDoS,也叫分布式拒绝服务。一般是指一个攻击者利用互联网侧的系统漏洞控制位于不同位置的多台联网主机(俗称“肉鸡”),使其成为攻击者的代理,对目标网站发起大量请求,大规模的消耗目标应用的资源,导致网站/应用服务器拥塞,无法正常对外提供服务。

想要防范DDoS攻击,需要先从攻击方式、手段来了解其攻击类型:

01 从攻击方式看
  • DDoS攻击包括传统攻击:SYN Flood、HTTP Flood、UDP Flood、ICMP flood等;
  • 反射放大攻击:NTP Flood、SSDP Flood、DNS Flood等;
  • 目前比较新型的DDoS攻击:DNS 协议安全漏洞“NXNSAttack”、RangeAmp 攻击、基于 HTTP2.0 的新型 CC 攻击。

02 从攻击手段看
DDoS攻击常用的手段是僵尸网络。它是指采用单一或者复合型手段将大量的主机感染僵尸程序病毒,然后在控制者和被感染主机之间形成一个可以一对多控制的网络。

其中比较有代表性的僵尸网络Mirai,属于影响比较大的Linux/IoT DDoS 家族。同时也是一个新型的基于物联网(IoT)设备的恶意软件,可通过入侵摄像头、路由器等设备,形成具有规模的僵尸网络。

随着Mirai不断地变异,在未来,其变体有很大概率会瞄准基于5G网络的新型物联网设备,如车载设备、机器人、运动手表以及各种可以穿戴设备、医疗设备、国家军用武器等,攻击者会想方设法在这些设备上植入相应的僵尸程序,进而控制它们并发起DDoS攻击。

在DDoS攻击逐步规模化且不断变异的形势下,应该如何进行安全建设来实现有效防御呢?

以下主要从国家侧、平台侧、用户侧三个层面介绍DDoS攻击的防御手段。

01 国家侧
  • 法制打击,以《刑法》第二百八十六条破坏计算机信息系统罪条款为依据,通过公安部网络安全保卫局设立的网络违法犯罪举报网站或110报警,严厉打击DDoS攻击类的网络违法犯罪行为。
  • 针对互联网中的“僵木蠕”泛滥情况,工信部制定考核指标,要求中国电信、移动、联通三大运营商监控各级骨干网、国际互联网出口,按照《木马和僵尸网络监测与处置机制》(工信部保〔2009〕157号)、《公共互联网网络安全威胁监测与处置办法》(工信部网安[2017]202号)等条例进行细化落实,建立互联网侧的监测和处置机制,完成严查“僵木蠕”流量,清洗DDoS攻击流量,封堵控制端,下线受控端等一系列操作。

02 平台侧
  • 云平台高防IP,可以将攻击流量引流到高防IP,全面防御ACKFlood、SSDP Flood、DNS Flood、HTTP Flood、CC等攻击,确保源站的稳定可靠,解决源站遭受大流量的DDoS攻击后引起的服务不可使用的问题。
  • 高防DNS的DDOS清洗能力,可以应用于域名解析的各种攻击防御系统,防御对象覆盖T级别的超大流量的DDoS攻击以及峰值超5亿QPS的DNS Query Flood攻击等。
  • 高防CDN,可将源站内容分发到多个高防服务器节点,防御大流量的DDoS攻击,隐藏源站IP,在网站遭受攻击后可快速切换到高防服务器节点,提高网站的可访问性。


03 用户侧
  • IP轮询技术

    在DDoS攻击达到一定峰值的时候,通过IP轮询机制,在IP池中灵活调取一个新的IP充当业务IP,让攻击者失去攻击目标,保证业务在DDoS攻击下可以正常运转。
  • 定期检查

    定期对企业现有的网络及主机服务器进行检测、扫描、渗透,检测是否存在可被利用的漏洞,修复安全漏洞,加强安全防御参数,防止黑客利用这些漏洞进行DDoS攻击。
  • 提高服务器抗打击能力

    DDoS攻击主要是通过大量合法的请求来占用网络资源,因此要提高服务器抗打击能力,在经济允许的范围内提高多线路高带宽及服务器的运算能力,并建立多节点的负载均衡。
  • 提高应用级抗打击能力

    通过在操作系统、应用、代码等方面进行优化,例如优化操作系统的TCP/IP 栈;应用服务器严格限制单个IP允许的连接数和 CPU 使用时间;编写代码时,尽量实现优化并合理使用缓存技术,最大程度减少网站的不必要动态查询。
  • 过滤或者关闭不必要的服务和端口

    通过防火墙关闭不必要的服务和端口、开启源路由检测过滤假IP,让服务最小化,减小受攻击几率。


综上所述,清晰地认识DDoS攻击的危害和掌握其防御手段是非常重要的。在面对DDoS攻击时,如果没有准备好充足的资源、缺少专业的高防产品,缺乏丰富的处理经验,将会对企业关键业务造成不可挽回的损失,如大量的用户流失、数据被破坏或窃取等。

当然,如果企业想要更加有效的应对DDoS攻击,还可以借助专业安全团队的力量。防御吧安全服务团队可结合企业特点及实际需求,为企业制定应急预案、开展应急演练。演练中还原真实DDoS攻击场景,为企业验证防护流程、人员分工、事件处置、防御措施等有效性,达到提升组织协调性、防护策略有效性的目的。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇2021年DDoS攻击趋势解读 下一篇服务器主要攻击方法有4种如何防护..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800