ddos攻击可以防御吗_DDOs的防御有攻击缓解

hacker|
62

关于应对DDOS攻击的一些常规方法有哪些?

DDOS攻击是目前最常见的网络攻击手段。攻击者利用客户机/服务器技术将多台计算机结合为攻击平台,对一个或多个目标发起DDOS攻击,从而使拒绝服务攻击的能力加倍,是黑客最常用的攻击手段之一。下面的墨者安全地列出了一些处理它的常规方法

(1)定期扫描

定期对现有网络主节点进行扫描,检查可能存在的安全漏洞,及时清理出现的漏洞。由于骨干计算机的带宽很高,是黑客的最佳使用场所,因此提高这些主机的安全性非常重要。而所有连接到主网络节点的计算机都是服务器级的计算机,因此更重要的是定期扫描漏洞。

(2)在主干节点配置防火墙

防火墙本身可以抵御DDOS攻击和其他攻击。当检测到攻击时,攻击可以指向一些牺牲主机,这样可以保护真正的主机不受攻击。当然,这些目标牺牲主机可以选择不重要的系统,或具有较少漏洞的系统,如Linux和Unix,以及出色的内部防御攻击。

(3)足以抵御黑客攻击的机器

这是一个理想的应对策略。如果用户有足够的能力和资源来攻击黑客,当黑客不断地访问用户并获取用户资源时,其能量将逐渐丧失。也许在用户受到攻击之前,黑客没有办法做任何事情。然而,这种方法需要大量的投资,大部分设备平时闲置,与中小企业网络的实际运行不一致。

(4)充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载平衡设备,可以有效地保护网络。当网络受到攻击时,首先死亡的是路由器,但其他机器没有死亡。死掉的路由器重新启动后会恢复正常,它会很快启动,不会有任何损失。如果其他服务器死机,数据将丢失,重新启动服务器是一个很长的过程。特别是,一家公司使用负载平衡设备,这样当一个路由器受到攻击并崩溃时,另一个路由器将立即工作。因此,最大程度地减少了对DDOS的攻击。

(5)过滤不必要的服务和端口

过滤不必要的服务和端口,即过滤路由器上的假IP…只打开服务端口已经成为许多服务器的一种流行做法,例如WWW服务器,它只打开80个端口,关闭所有其他端口或在防火墙上阻止它们。

(6)检查访客来源

使用单播反向路径转发等方法,通过反向路由器查询,检查访客IP地址是否为真,如果为假,则屏蔽。许多黑客经常使用假IP地址来迷惑用户,很难找到它的来源。因此,使用单播反向路径转发可以减少假IP地址的发生,有助于提高网络安全性。

以上方法可以缓解一些小流量的攻击。当受到大流量攻击时,墨者安全建议是通过访问专业的高防御服务来抵御DDOS攻击。墨者盾能够自动识别攻击流量,智能清理,解决各种流量攻击导致的服务器性能异常问题,保证服务器的稳定性。

服务器被DDOS攻击最佳解决方案是什么?报网警有用么?

服务器被DDOS攻击最佳解决方案是什么?报网警有用么?

目前,有效缓解DDoS攻击的解决方案可分为 3 大类:

架构优化

服务器加固

商用的DDoS防护服务

架构优化

在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。

部署DNS智能解析通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。

屏蔽未经请求发送的DNS响应信息

典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。

但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。

丢弃快速重传数据包

即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。

启用TTL

如果DNS服务器已经将响应信息成功发送了,应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。

每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。

丢弃未知来源的DNS查询请求和响应数据

通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。

丢弃未经请求或突发的DNS请求

这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。

非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。

白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。

启动DNS客户端验证

伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。

使用ACL的权限

很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。

利用ACL , BCP38及IP信营功能

托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。

部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。

部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。

使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。

提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道

不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。

服务器加固

在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:

确保服务器的系统文件是最新的版本,并及时更新系统补丁。

对所有服务器主机进行检查,清楚访问者的来源。

过滤不必要的服务和端口。例如, WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上做阻止策略。

限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。

仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。

限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。

充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置:流控、包过滤、半连接超时、垃圾包丢弃,来源伪造的数据包丢弃, SYN阀值,禁用ICMP和UDP广播。

通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。

识别游戏特征,自动将不符合游戏特征的连接断开。

防止空连接和假人攻击,将空连接的IP地址直接加入黑名单。

配置学习机制,保护游戏在线玩家不掉线。例如,通过服务器搜集正常玩家的信息,当面对攻击时,将正常玩家导入预先准备的服务器,并暂时放弃新进玩家的接入,以保障在线玩家的游戏体验。

商用的DDoS防护服务

针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前,阿里云、磐石云、腾讯云有针对各种业务场景的DDOS攻击解决方案。

目前,通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备, 或者采用大带宽的高防机房来清洗攻击。

当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。

您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。

安全防护有日志留存的可以选择报网警,前提是你自己的业务没有涉灰问题。

报网警有用吗?

至于报警,肯定有用,你不报警,警方没有线索,怎么抓人?

但是,这个作用不一定立即体现,警方需要时间侦查,需要取证。

DDoS的特点决定了,如果不在攻击时取证,证据很快就没了。因此要攻击者反复作案,才好抓。

对一一个被害人,只作案一次,或者随机寻找被害人的情况,最难抓。

而且调查涉及多方沟通、协调,比如被利用的主机的运营者,被害人,可能涉及多地警方的合作等等。

指望警方减少犯罪分子是可以的,但是指望通过报警拯救你的业务,只能说远水解不了近渴。

有哪些防护措施可以解决DDOS攻击?

Dos拒绝服务攻击是通过各种手段消耗网络带宽和系统CPU、内存、连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务。

常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性,主要分为以下三种方式,实现分层清洗的效果。

1. 本地DDos防护设备

一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。

本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度:

比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。

学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。

由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。

经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。

2. 运营商清洗服务

当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。

运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。

3. 云清洗服务

当运营商DDos流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。

依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。

具备适用场景的可以考虑利用CNAME或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动,牵涉面较大,一般不建议作为日常常规防御手段。

总结

以上三种防御方式存在共同的缺点,由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力,导致针对HTTPS流量的防护能力有限;

同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击,且策略的颗粒度往往较粗,因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。

对比三种方式的不同适用场景,发现单一解决方案不能完成所有DDos攻击清洗,因为大多数真正的DDos攻击都是“混合”攻击(掺杂各种不同的攻击类型)。

比如:以大流量反射做背景,期间混入一些CC和连接耗尽,以及慢速攻击。这时很有可能需要运营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉,把链路带宽清出来;

在剩下的20%里很有可能还有80%是攻击流量(类似CC攻击、HTTP慢速攻击等),那么就需要本地配合进一步进行清洗。

DDoS 缓解:反 DDoS 保护如何工作?

DDoS 缓解:反 DDoS 保护如何工作?

选择DDoS 缓解解决方案的第一步是评估您的风险。重要的基本问题包括:

哪些基础设施资产需要保护?

什么是软点或单点故障?

拿下他们需要什么?

您如何以及何时知道自己是目标?会不会太晚了?

延长停电的影响(财务和其他方面)是什么?

有了这些信息,就可以优先考虑您的问题,在您的安全预算框架内检查各种DDoS 缓解选项。

如果您正在运行商业网站或在线应用程序(例如,SaaS 应用程序、网上银行、电子商务),您可能需要 24×7、始终在线的保护。另一方面,大型律师事务所可能对保护其基础设施(包括电子邮件服务器、FTP 服务器和后台平台)比其网站更感兴趣。此类业务可能会选择“按需”解决方案。

第二步是选择部署方法。为整个子网中的核心基础设施服务部署按需DDoS 保护的最常见和最有效的方法是通过边界网关协议(BGP ) 路由。但是,这只能按需运行,需要您手动激活安全解决方案以防万一。

因此,如果您的Web 应用程序需要始终在线的 DDoS 保护,您应该使用 DNS 重定向通过 DDoS 保护提供商的网络(通常与内容交付网络集成)重新路由所有网站流量 (HTTP/HTTPS), . 该解决方案的优势在于,大多数 CDN 提供了随叫随到的可扩展性以吸收容量攻击,同时最大限度地减少延迟并加速内容交付。

减轻网络层攻击

处理所需的网络层攻击需要额外的可扩展性——超出您自己的网络所能提供的。

因此,在发生攻击时,会发出BGP 公告以确保所有传入流量都通过一组清理中心进行路由。其中每一个都具有处理数百 Gbps 流量的能力。位于清理中心的强大服务器将过滤掉恶意数据包,只通过 GRE 隧道将干净的流量转发到源服务器。

这种缓解方法提供了针对直接IP 攻击的保护,并且通常与所有类型的基础设施和通信协议(例如,UDP、SMTP、FTP、VoIP)兼容。

防御NTP 放大攻击:180Gbps 和每秒 5000 万个数据包

减轻应用层攻击

应用层攻击的缓解依赖于可以按需扩展的流量分析解决方案,同时还能够区分恶意机器人和合法网站访问者。

对于流量分析,最佳实践要求基于签名和基于行为的启发式方法,结合IP 信誉评分和安全挑战(例如,JS 和 cookie 挑战)的渐进式使用。

缓解长达八天的HTTP 洪水:来自 180,000 个僵尸网络 IP 的 6.9 亿次 DDoS 请求

总之,这些可以准确地过滤掉恶意机器人流量,防止应用层攻击,而不会对您的合法访问者造成任何影响

0条大神的评论

发表评论