随着如今DDoS攻击技术的不断成熟,关于防DDoS攻击的安全防护措施你知道多少?只有清楚的了解DDoS攻击的定义和原理和你有可能或者将会面临什么样的攻击,才更好的不断加强防护,才能够免于受到攻击从而导致受到损失。
DDoS(Distributed Denial of Service)攻击,即分布式的DoS攻击。这类攻击通常都是通过僵尸网络发起的,因僵尸网络分布于互联网各处,因此这类攻击叫分布式DoS攻击。DDoS攻击是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者,因此防DDoS攻击的难度要大于防御单一DoS攻击。
一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。由攻击者提出攻击要求,然后主控端发布命令,最后由代理端实际发出DDoS的攻击包。这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务就会消耗攻击目标大量的系统资源,造成目标主机无法为正常用户提供服务,甚至导致系统崩溃。
DDoS攻击可以从影响力、攻击特征分类、攻击速率、攻击路线、入侵目标、系统及协议的弱点、自动化程度七个方面进行分类:
(1)从影响力方面可以分为网络服务彻底崩溃和降低网络服务的攻击。
(2)从攻击特征的角度可以将DDoS攻击分为攻击行为特征可提取(又可以细分为可过滤型和不可过滤型)和攻击行为特征不可提取两类。
(3)从攻击速率来分类可以分为持续速率和可变速率的攻击。
(4)基于攻击路线分类直接攻击和反复式攻击。
(5)从基于入侵目标,可以将DDoS攻击分为带宽攻击和连通性攻击。
(6)从系统及协议的弱点分类主要可以分为洪水攻击(UDP洪水攻击和ICMP洪水攻击)、扩大攻击(Smurf和Fraggle攻击)、利用协议的攻击(如TCP SYN攻击)和畸形数据包攻击(IP地址攻击和IP数据包属性攻击)。
(7)从自动化程度上来分类基本可分为手动的,半自动化的和自动化的DDoS攻击等三类。
所谓事后补救总不及事前预防来得有效。为了确保企业能彻底解决多种多样全新的ddos流量攻击,建议提前采取防DDoS攻击对策,以下例举几种常规的DDoS应付办法:
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
(2)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(3)在骨干节点配置防火墙
防火墙本身就有一定的防DdoS攻击和其他一些攻击得能力。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。
(4)采用分布式集群防御
分布式集群防御是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的原理是拥有多个节点,当一个节点受攻击无法提供服务,系统自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
选用合适的防DDoS安全对策是网站安全防护中必要的一部分,对付DDoS是一个系统工程,想仅仅依靠某种系统或产品防住DDoS是不现实的,有条件的话还可以考虑使用cdn加速。
本文来自:https://www.zhuanqq.com/News/Industry/285.html
