高防服務(wù)器能夠有效的防御百分之九十幾的DDOS攻擊,而一個(gè)好的BGP線路加上進(jìn)出大流量的擁有高防防火墻機(jī)房幾乎可以無視DDOS攻擊。
分布式拒絕服務(wù)攻擊是每個(gè)企業(yè)最糟糕的噩夢(mèng)。一分鐘前,一切都正常。一分鐘后,您的基礎(chǔ)設(shè)施卻遭遇來自互聯(lián)網(wǎng)的虛假流量的海嘯。合法用戶發(fā)現(xiàn)自己被鎖定,而你的生意卻無法正常進(jìn)行,除非你提前租用了優(yōu)質(zhì)的高防BGP服務(wù)器,為自己做好準(zhǔn)備,否則你無能為力。
如今,攻擊者可以輕松地執(zhí)行DDoS攻擊。由成千上萬臺(tái)受到攻擊的PC組成的僵尸網(wǎng)絡(luò)可以廉價(jià)租用,并且可以在地下市場(chǎng)上輕松獲得能夠自動(dòng)攻擊的軟件。據(jù)記錄,每秒數(shù)十吉比特的攻擊達(dá)到峰值,每年的峰值攻擊規(guī)模都在增長(zhǎng)。
雖然一些證據(jù)表明,在經(jīng)濟(jì)動(dòng)機(jī)的犯罪企業(yè)中,大規(guī)模的暴力DDoS攻擊已經(jīng)失寵,但幾乎沒有跡象表明DDoS會(huì)更普遍地下降。 DDoS攻擊是如此難以阻止,以至于一些公司投降敲詐勒索并不是聞所未聞,悄悄地向攻擊者交出數(shù)十或數(shù)十萬美元的保護(hù)金,以使問題消失。
如果沒有支付,完全阻止確定的DDoS攻擊是非常困難的。但是,在系統(tǒng)設(shè)計(jì)和實(shí)時(shí)操作期間,組織可以采取四種一般措施來降低真實(shí)用戶和客戶在攻擊期間遭受破壞的風(fēng)險(xiǎn)。成功的防御涉及使用所有四種技術(shù):
1.過度配置
許多DDoS攻擊本質(zhì)上是暴力攻擊,過度配置是一種強(qiáng)力防御。你的對(duì)手只需要給你足夠的流量來壓倒你的容量。通過配置比正常操作期間預(yù)期更多的流量,您可以降低成功的機(jī)會(huì)并限制對(duì)用戶的影響。您不一定需要提供40Gbps的攻擊 - 并非所有攻擊者都擁有龐大的僵尸網(wǎng)絡(luò)武器庫 - 但您的目標(biāo)應(yīng)該是準(zhǔn)備流量,這是您在正常操作中經(jīng)歷的許多倍。
有些人在設(shè)計(jì)網(wǎng)絡(luò)時(shí),傾向于提供高預(yù)期的真實(shí)流量。例如,電子商務(wù)網(wǎng)站可能為季節(jié)性銷售高峰提供足夠的容量。這幾乎不足以抵御大規(guī)模的DDoS攻擊。如果正常業(yè)務(wù)意味著每天訪問60,000次,那么預(yù)計(jì)DDoS攻擊可以在一分鐘內(nèi)輕松地發(fā)送大量流量。這意味著在一次24小時(shí)的攻擊中就有8600萬次“訪問”。僅提供60,000次訪問的網(wǎng)站將很快陷入困境。
構(gòu)建硬件基礎(chǔ)架構(gòu)時(shí),一個(gè)好的經(jīng)驗(yàn)法則是提供正常峰值流量的十倍。計(jì)算出您曾經(jīng)擁有的最多流量,將其乘以10,并部署足夠的硬件以至少應(yīng)對(duì)該級(jí)別的活動(dòng)。
類似的規(guī)則適用于帶寬,因此您必須確保您的合同足夠靈活,以允許進(jìn)入系統(tǒng)的流量“突發(fā)”到正常音量的許多倍。您不希望您的連接提供商關(guān)閉您網(wǎng)站的所有流量,以防止對(duì)其他客戶造成附帶損害。計(jì)算出您的網(wǎng)站在正常情況下消耗的最大帶寬量,然后檢查您的合同是否允許持續(xù)爆發(fā)十倍于該數(shù)量的內(nèi)容。請(qǐng)記住,處理這么多的流量也會(huì)大大超出您的支票簿。
2.遠(yuǎn)程/冗余監(jiān)控
如果正常運(yùn)行時(shí)間對(duì)您很重要,那么您可能已經(jīng)擁有適當(dāng)?shù)南到y(tǒng)來監(jiān)控站點(diǎn)的性能和可用性。但是,如果內(nèi)部監(jiān)控系統(tǒng)也受到DDoS攻擊,那么它們的實(shí)用性可能會(huì)有限。如果設(shè)計(jì)為在網(wǎng)絡(luò)出現(xiàn)問題時(shí)提醒您的系統(tǒng)與其監(jiān)控的站點(diǎn)位于同一瓶頸后,則警報(bào)可能無法及時(shí)進(jìn)入您的電話或收件箱。
當(dāng)你受到攻擊時(shí),很快就會(huì)知道你受到了攻擊。更可靠的替代方案是訂閱第三方服務(wù),該服務(wù)可以從互聯(lián)網(wǎng)上的許多其他地方全天候監(jiān)控您的網(wǎng)站,從真正的最終用戶角度評(píng)估其響應(yīng)能力,并在發(fā)現(xiàn)問題時(shí)向您的手機(jī)提供警報(bào)。
3.轉(zhuǎn)儲(chǔ)日志
您的Web服務(wù)器日志無法區(qū)分真正的訪問者和僵尸網(wǎng)絡(luò)節(jié)點(diǎn)。兩次訪問通常都以相同的方式記錄。即使您的服務(wù)器配置正確并且能夠從DDoS攻擊洪水中恢復(fù),如果其日志堆積起來,如果服務(wù)器因日志變得太大而失敗,您通常會(huì)受到傷害。雖然日志數(shù)據(jù)可能在攻擊結(jié)束后用于取證目的,但其價(jià)值相對(duì)有限。服務(wù)器能夠在攻擊期間響應(yīng)真正的用戶,這一點(diǎn)非常重要。
如果您發(fā)現(xiàn)日志文件變得非常快,那么您將面臨保留數(shù)據(jù)和丟失服務(wù)器,丟失數(shù)據(jù)和保留服務(wù)器之間的選擇。如果您的Web服務(wù)器是關(guān)鍵任務(wù)且大型日志文件阻止您恢復(fù),則應(yīng)明確選擇:轉(zhuǎn)儲(chǔ)日志。
4.了解供應(yīng)商的人員
雖然在技術(shù)上可以在本地配置網(wǎng)絡(luò)硬件以丟棄一些惡意數(shù)據(jù)包,但理想情況下,您希望將受限制的流量限制在盡可能靠近源的位置。這意味著必須與您的上游提供商進(jìn)行協(xié)調(diào)。
不幸的是,如果你的對(duì)手已經(jīng)正確地進(jìn)行了偵察,他將在最不方便的時(shí)間發(fā)動(dòng)攻擊。提示您收到傳入DDoS的短信很有可能會(huì)在周六早上凌晨1點(diǎn)到達(dá),此時(shí)您和您的常規(guī)ISP聯(lián)系人都將在周末休息。
文章題目:高防服務(wù)器如何抵御DDOS攻擊?
網(wǎng)站路徑:http://jinyejixie.com/hangye/fwqtg/n7946.html
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)