中文版

什么是DDos攻击?怎样预防DDos攻击的解决方案

发布时间:2023-12-23  浏览次数:146次

DDoS攻击是最常见的网络威胁,而且可能危及你的业务、网站安全性、销售和商誉,因为DDoS攻击可以造成网络的严重堵塞和服务器的瘫痪,

怎样预防ddos攻击

一、什么是DDos攻击

DDos向特定的目标发动“阻断服务”式攻击,也称为分散式阻断服务攻击(distributed denial-of-service attack),简称 DDoS 攻击。DDoS 攻击是利用分散多处的众多电脑或设备发送大量数据包,借此消耗网站带宽与系统资源,导致网络瘫痪,无法提供正常服务。此类攻击的逻辑可以用一个比喻来解释,如果有1000位不付钱的客户进入你的商店并堵住入口,不让正常客户入内消费,这会导致商店无法正常做生意,所以怎样预防DDoS攻击很重要。

二、DDoS攻击的表现形式

DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即发送大量数据包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大流量访问导致主机的内存被耗尽或CPU被占用100%而无法提供网络服务。

当被DDoS攻击时,主要表现为:

1、网络和设备正常的情况下,服务器突然出现连接断开、访问卡顿、用户掉线等情况。
2、被攻击主机上有大量等待的TCP连接。
3、服务器CPU或内存占用率出现明显增长。
4、网络中充斥着大量的无用的数据包,源地址为假。
5、制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
6、利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。
7、网络出站或入站流量出现明显增长。
8、登录服务器失败或者登录过慢。
9、严重时会造成系统死机。

三、DDoS攻击的类型

DDoS攻击有数种类型。一般来说,DDoS攻击主要可分成三种类别:巨流量攻击、通讯协定攻击,以及资源层攻击。

1、巨流量攻击会以感觉像真实的流量来瘫痪网络层。这类型的攻击是最常见的DDoS攻击形式。

2、通讯协定攻击会利用层级3和层级4通讯协定堆叠的弱点,造成服务中断。SYN攻击也是这类型的攻击范例之一,其会占用所有可用服务器资源,导致服务器无法使用。

3、资源 (或应用程序) 层级攻击的目标是Web应用程序封包,并干扰主机间的资料传输。这类型攻击的范例包括违反HTTP协定、SQL注入、跨网站指令码,以及其他层级7的攻击。

网络攻击者可能会在网络上使用一种或数种类型的攻击。例如,他们一开始可能会以某种方式攻击,然后转化或合并其他攻击来破坏系统。随着攻击手法更加老练,新的网络威胁手法正持续增加,且数量可能会大幅上升。

DDoS攻击

四、怎样预防DDoS攻击

服务器被大流量攻击怎么办?为防护多方位DDoS攻击,需要部署多项不同策略,从而缓解不同层级的攻击。一般而言,攻击越复杂,越难以区分攻击流量与正常流量。攻击者的目标是尽可能混入正常流量,从而尽量减弱缓解成效。以下是几个抗DDoS攻击解决方案:

1、黑洞路由

有一种解决方案几乎适用于所有网络管理员:创建黑洞路由,并将流量汇入该路由。在最简单的形式下,当在没有特定限制条件的情况下实施黑洞过滤时,合法网络流量和恶意网络流量都将路由到空路由或黑洞,并从网络中丢弃。

如果互联网设备遭受DDoS攻击,则该设备的互联网服务提供商(ISP)可能会将站点的所有流量发送到黑洞中作为防御。这不是理想的解决方案,因为它相当于让攻击者达成预期的目标:使网络无法访问。

2、速率限制

限制服务器在某个时间段接收的请求数量也是防护拒绝服务攻击的一种方法。虽然速率限制对于减缓Web爬虫窃取内容及防护暴力破解攻击很有帮助,但仅靠速率限制可能不足以有效应对复杂的DDoS攻击。

3、Web应用程序防火墙

Web应用程序防火墙(WAF) 是一种有效工具,有助于缓解第 7 层DDoS攻击。在互联网和源站之间部署WAF后,WAF可以充当反向代理,保护目标服务器,防止其遭受特定类型的恶意流量入侵。

通过基于一系列用于识别DDoS工具的规则过滤请求,可以阻止第 7 层攻击。WAF的一个关键价值是能够快速实施自定义规则以应对攻击。

4、Anycast网络扩散

Anycast是一种网络寻址和路由方法,可以将传入请求路由到各种不同的位置或“节点”。在CDN中,Anycast通常会将传入的流量路由到距离最近并且能够有效处理请求的数据中心。选择性路由使Anycast网络能够应对高流量、网络堵塞和DDoS攻击。

Anycast网络扩散

可以理解为将攻击流量分散至分布式服务器网络,直到网络吸收流量为止。这种方法就好比将湍急的河流引入若干独立的小水渠,将分布式攻击流量的影响分散到可以管理的程度,从而分散破坏力。

Anycast网络在缓解DDoS攻击方面的可靠性取决于攻击规模及网络规模和效率。采用Anycast分布式网络是Cloudflare实施DDoS防护策略的一个重要组成部分。

Cloudflare拥有121Tbps的网络,比有记录的最大DDoS攻击大一个数量级。如果你目前恰好受到攻击,可以使用 Cloudflare CDN 服务。

© 2024 重庆零玖云网络科技有限公司 版权所有,保留所有权利 注册人权利与责任注册人教育信息隐私政策