DDoS被称为最恐怖的网络攻击,不只是因为DDoS防护成本相对DDoS攻击的成本而言较高,还因其攻击性和破坏性也很强,因此经常被网络黑客利用。目前最大的DDoS攻击事件是美国知名安全研究人员Brian Krebs的安全博客遭遇的DDoS攻击,攻击峰值达到665G。
而DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。连入互联网的计算机(或摄像头等物联网设备)感染了恶意软件,被转变成肉鸡(僵尸机)。僵尸网络的发展通常遵循既定策略,它始于一个坏的演员,一个人或一群黑客,他们共同为犯罪集团或一个民族国家工作,他们创建程序来感染设备。该恶意软件可以运行在可以执行代码的任何类型的设备上。恶意行为者可以使用不同的策略将恶意软件传播到设备上,网络钓鱼诈骗是常见的策略。但恶意软件也可以被设计为在设备上寻找不受保护的网络端口或其他类似的特定漏洞,一旦设计完成,黑客就会使用该代码感染尽可能多的设备,从而将这一系列被劫持的设备变成一个僵尸网络。一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个僵尸网络发送更新的指令来控制机器。由于每台僵尸网络都是合法的互联网设备,因此将攻击流量与正常流量分开可能很困难。简单来说,它是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。
没有相应DDoS防护的情况下,DDoS攻击可以造成许多危害,它可以直接导致网站宕机、服务器瘫痪、消耗大量带宽或内存、造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着全球互联网信息安全的发展。例如:2016年10月,美国主要的DNS服务商Dyn遭受DDos攻击,致使半个美国网络瘫痪。
而也有一些DDOS防护方法来应对这些DDoS攻击,保护服务器或网络安全:
1、要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁,没有安全漏洞。在服务器上删除未使用的服务,关闭未使用的端口。
2、隐藏服务器的真实IP地址。譬如服务器前端加CDN中转,或者购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
3、防止服务器对外传送信息泄漏IP地址,如服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址,可以通过第三方代理发送邮件。
4、优化路由及网络结构。对路由器进行合理设置,降低攻击的可能性。优化对外提供服务的主机,对所有在网上提供公开服务的主机都加以限制。
5、DDoS防护还要从源头做起。做好个人计算机及物联网设备的防护工作,不随意下载来路不明的应用,定期更新安全补丁,并关闭不不必要的端口,防止设备被恶意连接,变成肉鸡。
在面对越来越恐怖的DDoS攻击时,我们也不必谈D色变,只要做好相应的DDoS防护手段,就可以最大化的保障我们服务器或者网络的安全,维护自身的合法利益。
本文转自:http://www.heikesz.com/ddos1/1802.html