之前我們提到過DDoS功能的介紹,下面我們詳細(xì)介紹一下DDos功能應(yīng)該如何去做好防護(hù)。
DDoS攻擊數(shù)量呈幾何數(shù)級增長
8月25日,錘子“堅果手機”千呼萬喚始出來,卻遭遇了一場狼狽不堪的新品發(fā)布會,讓羅永浩始料未及,更讓一眾錘粉們跌破眼鏡。而這一切的罪魁禍?zhǔn)拙褪牵哄N子官網(wǎng)服務(wù)器遭遇了數(shù)十G流量DDoS惡意攻擊,并因此導(dǎo)致當(dāng)天發(fā)布會一再推遲,現(xiàn)場的PPT也是臨時趕制,一堆錯漏,期間搶紅包的環(huán)節(jié)也因此出現(xiàn)故障、匆匆收場。
3月底,代碼托管網(wǎng)站GitHub遭遇大流量DDoS攻擊。攻擊者劫持百度廣告聯(lián)盟的JS腳本并將其替換成惡意代碼,最后利用訪問中國網(wǎng)站的海外用戶對GitHub發(fā)動大規(guī)模分布式拒絕服務(wù)攻擊。
5月11日,網(wǎng)易遭受DDoS攻擊,大量用戶發(fā)現(xiàn)訪問網(wǎng)易新聞出現(xiàn)問題,很多游戲用戶報告說游戲掉線嚴(yán)重,網(wǎng)易新聞客戶端新浪微博發(fā)推:這次攻擊,相較于以往的DDoS攻擊,骨干網(wǎng)絡(luò)遭受攻擊。
5月28日,藝龍網(wǎng)在攜程故障后遭受了大流量DDoS攻擊,網(wǎng)站服務(wù)一度受到影響。
最近DDoS的攻擊數(shù)量在呈幾何數(shù)級增長,有安全專家曾經(jīng)稱:“DDoS是攻擊中的核武器。”大面積的網(wǎng)絡(luò)癱瘓,正是DDoS攻擊的效果。人們內(nèi)心深處對于這種核武器的恐懼可謂揮之不去。
DDoS攻擊危害大、難防范。
什么是DDoS攻擊呢?簡單來講,就是攻擊者聯(lián)合多個計算機對目標(biāo)服務(wù)器進(jìn)行洪水般地圍毆。DDoS惡意攻擊(分布式拒絕服務(wù)攻擊)是目前常見的網(wǎng)絡(luò)攻擊方法,它的英文全稱為Distributed Denial of Service?簡單來說,很多DoS攻擊源一起攻擊某臺服務(wù)器就形成了DDOS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者將攻擊程序通過代理程序安裝在網(wǎng)絡(luò)上的各個“肉雞”上,代理程序收到指令時就發(fā)動攻擊。
關(guān)于DDoS攻擊(分布式拒絕服務(wù)),Akamai技術(shù)公司也發(fā)布了二季度的互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報告并做了統(tǒng)計。數(shù)據(jù)顯示,今年Q2,DDoS攻擊活動創(chuàng)下新紀(jì)錄,同比增長了132%。其中,最大規(guī)模的DDoS攻擊峰值流量超過了240Gbps,持續(xù)了13個小時以上。迄今為止,全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊是去年底部署在阿里云的某游戲公司,攻擊流量峰值達(dá)每秒453.8Gb。
DDoS攻擊的危害很大,而且很難防范,可以直接導(dǎo)致網(wǎng)站宕機、服務(wù)器癱瘓,造成權(quán)威受損、品牌蒙羞、財產(chǎn)流失等巨大損失,嚴(yán)重威脅著中國互聯(lián)網(wǎng)信息安全的發(fā)展。
服務(wù)器有效防御DDOS攻擊的方法
目前,黑客甚至對攻擊進(jìn)行明碼標(biāo)價,打1G的流量到一個網(wǎng)站一小時,只需50塊錢。DDoS的成本如此之低,而且無人監(jiān)管,使得DDoS的防范工作變得更加困難。
隨著DDOS攻擊在互聯(lián)網(wǎng)上的肆虐泛濫,那么,廣大的網(wǎng)站用戶應(yīng)該采取怎樣的措施進(jìn)行有效的防御呢?下面我們就介紹一下服務(wù)器有效防御DDOS攻擊的基本方法。
隱藏服務(wù)器的真實IP地址
服務(wù)器前端加CDN中轉(zhuǎn),如果資金充裕的話,可以購買高防的盾機,用于隱藏服務(wù)器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務(wù)器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
另外,防止服務(wù)器對外傳送信息泄漏IP地址,最常見的情況是,服務(wù)器不要使用發(fā)送郵件功能,因為郵件頭會泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件,可以通過第三方代理發(fā)送,這樣對外顯示的IP就是代理的IP地址。
確保服務(wù)器系統(tǒng)的安全
首先要確保服務(wù)器軟件沒有任何漏洞,防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng),并打上安全補丁。在服務(wù)器上刪除未使用的服務(wù),關(guān)閉未使用的端口。對于服務(wù)器上運行的網(wǎng)站,確保其打了最新的補丁,沒有安全漏洞。
