應(yīng)對ddos攻擊的防御原則 防ddos攻擊的方法

  分布式拒絕服務(wù)攻擊是目前比較常見的一種網(wǎng)絡(luò)攻擊，不僅影響個(gè)人用戶正常登陸網(wǎng)站，也會(huì)對企業(yè)造成很大的經(jīng)濟(jì)損失，今天就分享一些常見的防ddos攻擊方法，希望對有需要的朋友有幫助。

  ddos攻擊是什么

  ddos攻擊就是指分布式拒絕服務(wù)攻擊可以使很多的計(jì)算機(jī)在同一時(shí)間遭受到攻擊，使攻擊的目標(biāo)無法正常使用，分布式拒絕服務(wù)攻擊已經(jīng)出現(xiàn)了很多次，導(dǎo)致很多的大型網(wǎng)站都出現(xiàn)了無法進(jìn)行操作的情況，這樣不僅僅會(huì)影響用戶的正常使用，同時(shí)造成的經(jīng)濟(jì)損失也是非常巨大的。

  應(yīng)對ddos攻擊的防御原則
  在響應(yīng)方面，雖然還沒有很好的對付攻擊行為的方法，但仍然可以采取措施使攻擊的影響降至最小。對于提供信息服務(wù)的主機(jī)系統(tǒng)，北京新網(wǎng)認(rèn)為，應(yīng)對ddps攻擊的根本原則是：盡可能地保持服務(wù)、迅速恢復(fù)服務(wù)。由于分布式攻擊入侵網(wǎng)絡(luò)上的大量機(jī)器和網(wǎng)絡(luò)設(shè)備，所以要對付這種攻擊歸根到底還是要解決網(wǎng)絡(luò)的整體安全問題。
 

  真正解決安全問題一定要多個(gè)部門的配合，從邊緣設(shè)備到骨干網(wǎng)絡(luò)都要認(rèn)真做好防范攻擊的準(zhǔn)備，一旦發(fā)現(xiàn)攻擊就要及時(shí)地掐斷最近攻擊來源的那個(gè)路徑，限制攻擊力度的無限增強(qiáng)。網(wǎng)絡(luò)用戶、管理者以及ISP之間應(yīng)經(jīng)常交流，共同制訂計(jì)劃，提高整個(gè)網(wǎng)絡(luò)的安全性。

  防ddos攻擊的方法
  1. 擴(kuò)充帶寬硬抗
  網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過1G，超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過控制一些服務(wù)器、個(gè)人電腦等成為肉雞，如果控制1000臺機(jī)器，每臺帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊，帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解，只要帶寬大于攻擊流量就不怕了，但成本也是難以承受之痛，國內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月，買10G帶寬頂一下就是100萬，因此許多人調(diào)侃拼帶寬就是拼人民幣，以至于很少有人愿意花高價(jià)買大帶寬做防御。
  2. 使用硬件防火墻
  許多人會(huì)考慮使用硬件防火墻，針對DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級防火墻通過對異常流量的清洗過濾，可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾，可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但北京新網(wǎng)認(rèn)為，如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍（比如200G的硬防，但攻擊流量有300G），洪水瞞過高墻同樣抵擋不住。
  3. 選用高性能設(shè)備除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。
  4. 負(fù)載均衡
  普通級別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個(gè)鏈接請求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。
  5. CDN流量清洗
  CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過中心平臺的分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度和命中率，因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制，CDN則更加理智，多節(jié)點(diǎn)分擔(dān)滲透流量，目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能，再加上硬防的防護(hù)，可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。
  6. 分布式集群防御

  分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

  以上短文為大家介紹了什么是ddos攻擊，分析了應(yīng)對攻擊的防御原則，也分享了當(dāng)前比較常用的防ddos攻擊的幾種方法，如果想學(xué)習(xí)更多互聯(lián)網(wǎng)及信息技術(shù)，可以登陸北京新網(wǎng)。