關於DDOS攻擊
分佈式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
通常,攻擊者將攻擊程序通過代理程序安裝在網絡上的各個“肉雞”上,代理程序收到指令時就發動攻擊。
(DDOS攻擊示意圖)
隨著網絡技術發展,DDOS攻擊也在不斷進化,攻擊成本越來越低,而攻擊力度卻成倍加大,使得DDOS更加難以防範。比如反射型DDoS攻擊就是相對高階的攻擊方式。攻擊者並不直接攻擊目標服務IP,而是通過偽造被攻擊者的IP向全球特殊的服務器發請求報文,這些特殊的服務器會將數倍於請求報文的數據包發送到那個被攻擊的IP(目標服務IP)。
DDOS攻擊讓人望而生畏,它可以直接導致網站宕機、服務器癱瘓,對網站乃至企業造成嚴重損失。而且DDOS很難防範,可以說目前沒有根治之法,只能儘量提升自身“抗壓能力”來緩解攻擊,比如購買高防服務。
DDOS攻擊應對策略
這裡我們分享一些在一定程度範圍內,能夠應對緩解DDOS攻擊的策略方法,以供大家借鑑。
1.定期檢查服務器漏洞
定期檢查服務器軟件安全漏洞,是確保服務器安全的最基本措施。無論是操作系統(Windows或linux),還是網站常用應用軟件(mysql、Apache、nginx、FTP等),服務器運維人員要特別關注這些軟件的最新漏洞動態,出現高危漏洞要及時打補丁修補。
2.隱藏服務器真實IP
其次,防止服務器對外傳送信息洩漏IP地址,最常見的情況是,服務器不要使用發送郵件功能,因為郵件頭會洩漏服務器的IP地址。如果非要發送郵件,可以通過第三方代理(例如sendcloud)發送,這樣對外顯示的IP是代理的IP地址。
3.關閉不必要的服務或端口
這也是服務器運維人員最常用的做法。在服務器防火牆中,只開啟使用的端口,比如網站web服務的80端口、數據庫的3306端口、SSH服務的22端口等。關閉不必要的服務或端口,在路由器上過濾假IP。
4.購買高防提高承受能力
該措施是通過購買高防的盾機,提高服務器的帶寬等資源,來提升自身的承受攻擊能力。一些知名IDC服務商都有相應的服務提供,比如阿里雲、騰訊雲等。但該方案成本預算較高,對於普通中小企業甚至個人站長並不合適,且不被攻擊時造成服務器資源閒置,所以這裡不過多闡述。
5.限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
6.網站請求IP過濾
小結
目前而言,DDOS攻擊並沒有最好的根治之法,做不到徹底防禦,只能採取各種手段在一定程度上減緩攻擊傷害。所以平時服務器的運維工作還是要做好基本的保障,並借鑑本文分享的方案,將DDOS攻擊帶來的損失儘量降低到最小。
閱讀更多 瘋貓網絡科技 的文章
