如何防禦ddos攻擊
DDoS:(Distributed Denial of Service)即分散式拒絕服務。攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
按照發起的方式,DDoS可以簡單分為三類。
第一類以力取勝,海量數據包從互聯網的各個角落蜂擁而來,堵塞IDC入口,讓各種強大的硬體防禦系統、快速高效的應急流程無用武之地。這種類型的攻擊典型代表是ICMP Flood和UDP Flood,現在已不常見。
第二類以巧取勝,靈動而難以察覺,每隔幾分鐘發一個包甚至只需要一個包,就可以讓豪華配置的伺服器不再響應。這類攻擊主要是利用協議或者軟體的漏洞發起,例如Slowloris攻擊、Hash衝突攻擊等,需要特定環境機緣巧合下才能出現。
第三類是上述兩種的混合,輕靈渾厚兼而有之,既利用了協議、系統的缺陷,又具備了海量的流量,例如SYN Flood攻擊、DNS Query Flood攻擊,是當前的主流攻擊方式。
出現DDOS攻擊時,往往會有以下特徵:
被攻擊主機上有大量等待的TCP連接;
網路中充斥著大量的無用的數據包;
源地址為假 製造高流量無用數據,造成網路擁塞,使受害主機無法正常和外界通訊;
利用受害主機提供的傳輸協議上的缺陷反覆高速的發出特定的服務請求,使主機無法處理所有正常請求;
嚴重時會造成系統死機。
防禦方法
1.異常流量的清洗過濾
通過DDOS硬體防火牆對異常流量的清洗過濾通過數據包的規則過濾、數據流指紋檢測過濾、及數據包內容定製過濾等頂尖技術能準確判斷外來訪問流量是否正常進一步將異常流量禁止過濾。單台負載每秒可防禦800-927萬個syn攻擊包。
2.分散式集群防禦
這是目前網路安全界防禦大規模DDOS攻擊的最有效辦法分散式集群防禦的特點是在每個節點伺服器配置多個IP地址,並且每個節點能承受不低於10G的DDOS攻擊如一個節點受攻擊無法提供服務,系統將會根據優先順序設置自動切換另一個節點並將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態從更為深度的安全防護角度去影響企業的安全執行決策。
3.高防智能DNS解析
高智能DNS解析系統與DDOS防禦系統的完美結合,為企業提供對抗新興安全威脅的超級檢測功能,它顛覆了傳統一個域名對應一個鏡像的做法,智能根據用戶的上網路線將DNS解析請求解析到用戶所屬網路的伺服器。同時智能DNS解析系統還有宕機檢測功能,隨時可將癱瘓的伺服器IP智能更換成正常伺服器IP為企業的網路保持一個永不宕機的服務狀態。
宕機檢測:在電腦死機的情況下也能進行DNS檢測
