站务联系
DDOS攻击全称分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合上去作为防御平台,对一个或多个目标发动DDoS攻击,从而成倍地增加拒绝服务攻击的威力。
通常,攻击者将防御程序通过代理程序安装在网路上的各个“肉鸡”上,代理程序收到指令时就发动防御。
DDOS攻击使人望而生畏高防cdn,它可以直接造成网站宕机、服务器失明,对网站甚至企业导致严重损失。而且DDOS很难严防,可以说现在没有治疗之法,只能尽量提高自身“抗压能力”来改善防御,比如订购高防服务。
面对DDOS攻击,应该从网路设施、防御方案、预防方式三个方面进行抵抗
一.网络设备设施
用足够的机器、容量去承受防御,充分利用网路设备保护网路资源是一种较为理想的规避策略,说究竟攻守只是双方资源的对决。
实际上,攻击者会不断访问用户、夺取用户资源,我们自己的能量也在逐步耗失。如果完全的缠斗设施,投入资金也不小。
网络设施是一切攻击的基础,所以须要依照自身状况作出平衡的选择。
1. 扩充码率硬抗
网络时延直接决定了承受防御的能力,国内大部分网站码率规模在10M至100M,知名企业码率能少于1G,超过100G的基本是专门做码率服务跟抗防御服务的网站,数量屈指可数。
DDoS攻击者可以通过控制一些服务器、个人笔记本等成为土鸡。如果控制1000台机器,每台码率为10M,那么攻击者就有了10G的流量。当他们同时向某个网站发动防御,带宽顿时就被占满了。
增加码率硬防护是理论最优解,只要码率小于防御流量就不怕了。但码率费用只是难以承受之疼,所以甚少有人乐意花高价买大码率做攻击。
2. 使用硬件防火墙
针对DDoS攻击跟黑客侵入而设计的专业级防火墙通过对异常流量的擦洗过滤,可抗衡SYN/ACK攻击、TCP全连结防御、刷脚本防御等流量型DDoS攻击。
如果网站遭到流量防御的困惑,可以考虑将网站放在DDoS硬件防火墙机房。但若果网站流量防御超过了硬防的防护范围(如:200G的硬防,但防御流量有300G),硬件防火墙同样抵御不住。部分硬件防火墙基于包过滤型防火墙更改为主,只在网路层检测数据包,若是DDoS攻击上升至应用层,防御能力就比较弱了。
2. CDN流量擦洗
CDN是建立在网路之上的内容分发网路,依靠布署在各地的边沿服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网路串扰,提高用户访问响应速率跟命中率,因此CDN加快也用到了负载均衡技术。相比高防硬件防火墙不或许扛下无限流量的限制,CDN则格外理性,多节点分担渗透流量,目前大部分的CDN节点都有200G的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。
三.防治为主
DDoS的发生或许永远都未能预知,而一来就凶狠如水灾洪水,因此防治举措跟应急预案就变得尤为重要。通过日常习惯性的维保操作使系统强健稳固,没有漏洞可钻,降低脆弱服务被占领的或许,将防御带给的损失减少至最小。
1. 筛查系统漏洞
及早发觉系统存在的防御漏洞,及时安装系统补丁,对重要信息(如系统配置信息)建立跟建立备份制度,对一些特权账户(如管理员账户)的密码慎重设置,通过一系列的措施可以把攻击者的可乘之机增加至最小。
2. 系统资源优化
合理优化系统,避免系统资源的耗费,尽可能提高计算机执行少的进程,更改工作机制,删除不必要的中断使机器运行更有效,优化文件位置让数据读写更快,空出更多的系统资源供用户支配,以及降低不必要的系统加载项及自启动项,提高web服务器的负载能力。
3. 过滤不必要的服务跟端口
禁止未用的服务,将开放端口的数目最小化非常重要。端口过滤模块通过开放或关掉一些端口,允许用户使用或严禁使用部份服务,对数据包进行过滤,分析端口,判断是否为容许数据通讯的端口,然后做相应的处理。
4. 限制特定的流量
检查访问来源并做适当的限制,以避免异常、恶意的流量袭来,限制特定的流量,主动保护网站安全。
目前,DDOS攻击并没有最好的治疗之法,做不到彻底攻击,只能采取各式方式在一定程度上减少防御伤害。所以平常服务器的维保工作还是要做好基本的保障,并借鉴上述方案,将DDOS攻击带给的损失尽量减少至最小。
以上个人愚见,欢迎批评见谅。喜欢的可以关注我,谢谢!
认同我的想法的请点个赞再走,再次谢谢!
