DDoS(Distributed Denial of Service,分布式拒絕服務)
定義:
主要通過大量合法的請求占用大量網絡資源,從而使合法用戶無法得到服務的響應,是目前最強大、最難防御
的攻擊之一。
ddos攻擊最大的難點在于攻擊者發起的攻擊的成本遠低于防御的成本。比如黑客可以輕易的控制大量肉雞發起
10G,100G的攻擊。而要防御這樣的攻擊10G,100G帶寬的成本卻是100W,1000W….
分類:
網絡層攻擊:SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等等
應用層攻擊:
效果:
占滿網絡帶寬;
提交大量請求,使服務器超負荷運行,響應緩慢;
阻斷某一用戶訪問服務器;
阻斷某服務與特定系統或個人的通訊。
防護:
1.針對第一種,需要在運營商網絡里進行攻擊流量識別,清洗;
2.第二種需要對流量模型學習建模,防護引擎要有多種方式檢測攻擊流量并自動生成過濾特征。當然最重要是
修復應用的脆弱設計;抗DDOS設備主要的技術難點在于如何準確判斷流量是攻擊流量還是正常流量。流量清洗
回注是沒多少技術含量的。當然光靠設備自動化防護是遠遠不夠的,需要有應急團隊的專業服務。那些直接說
不能防護的人不知是神馬心態.
防御手段:
總體來說,從下面幾個方面考慮:
硬件
單個主機
整個服務器系統
硬件:
1.增加帶寬
帶寬直接決定了承受攻擊的能力,增加帶寬硬防護是理論最優解,只要帶寬大于攻擊流量就不怕了,但成本非
常高。
2、提升硬件配置
在有網絡帶寬保證的前提下,盡量提升CPU、內存、硬盤、網卡、路由器、交換機等硬件設施的配置,選用知名
度高、 口碑好的產品。
3、硬件防火墻
將服務器放到具有DDoS硬件防火墻的機房。專業級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK
攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊.
單個主機:
1、及時修復系統漏洞,升級安全補丁。
2、關閉不必要的服務和端口,減少不必要的系統加載項及自啟動項,盡可能減少服務器中執行較少的進程,更
改工作模式
3、iptables
4、嚴格控制賬戶權限,禁止root登錄,密碼登錄,修改常用服務的默認端口
整個服務器系統:
1. 負載均衡
使用負載均衡將請求被均衡分配到各個服務器上,減少單個服務器的負擔。
2、CDN
CDN是構建在網絡之上的內容分發網絡,依靠部署在各地的邊緣服務器,通過中心平臺的分發、調度等功能模塊
,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率,因此CDN加速也用到了負載均衡
技術。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節點分擔滲透流量,目前大部分的
CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大多數的DDoS攻擊了。
3. 分布式集群防御
分布式集群防御的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDoS攻擊,如一
個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,并將攻擊者的數據包全部返回發
送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
我司根據現有DDOS攻擊狀況提供不同程度攻擊的高防服務器
福建福州雙線高防服務器:防御高、線路穩、安全速度快、價格實惠!
酷睿I5 4核內存32G 1T機械硬盤獨享100M/G口電信聯通雙線防御200G
酷睿I5 4核內存16G 1T機械硬盤獨享100M/G口電信聯通雙線防御260G
酷睿I5 4核內存8G 500G機械硬盤獨享100M/G口電信聯通雙線防御300G
需要的客戶朋友可以聯系我!
聯系電話:13798259175 企業QQ:2853898508
公司地址:廣東省東莞市南城區高盛科技園北區c座309
公司:銳輝網絡科技有限公司
