導(dǎo)讀:盡管大型網(wǎng)站經(jīng)常受到攻擊,并且在超負(fù)荷的負(fù)載下,這些公司和網(wǎng)絡(luò)仍然要竭盡所能地去轉(zhuǎn)移這些攻擊,而且重要是要保持他們的網(wǎng)站能夠正常地瀏覽。即便你管理的是一個(gè)小站點(diǎn),比如小
發(fā)表日期:2019-10-08
文章編輯:興田科技
瀏覽次數(shù):6427
標(biāo)簽:
盡管大型網(wǎng)站經(jīng)常受到攻擊,并且在超負(fù)荷的負(fù)載下,這些公司和網(wǎng)絡(luò)仍然要竭盡所能地去轉(zhuǎn)移這些攻擊,而且重要是要保持他們的網(wǎng)站能夠正常地瀏覽。即便你管理的是一個(gè)小站點(diǎn),比如小公司或者小型網(wǎng)站這種規(guī)模的網(wǎng)絡(luò),你不知道什么時(shí)候就有人會(huì)對(duì)你下黑手。那么接下來(lái),讓我們大連網(wǎng)站建設(shè)公司帶您去看看DDOS"背后"的一些細(xì)節(jié)和攻擊方式,以便于我們能夠讓我們的網(wǎng)絡(luò)更加地安全。
多種攻擊類型
用pING命令就可以執(zhí)行操作ICMp請(qǐng)求,這個(gè)請(qǐng)求非常容易造成網(wǎng)絡(luò)堵塞。DDOS攻擊可以通過多種途徑來(lái)完成,ICMp也只是其中之一。
此外,有一種Syn攻擊,發(fā)動(dòng)這種攻擊時(shí),實(shí)際上僅僅是打開了一個(gè)TCp鏈接,之后通常會(huì)連接到一個(gè)網(wǎng)站上,但關(guān)鍵是,這個(gè)操作并沒有完成初始握手,就離開了掛靠的服務(wù)器。
另一種聰明的做法是使用DNS。有很多網(wǎng)絡(luò)供應(yīng)商都有自己的DNS服務(wù)器,而且允許任何人進(jìn)行查詢,甚至有些人都不是他們的客戶。并且一般DNS都使用UDp,UDp是一種無(wú)連接的傳輸層協(xié)議。有了以上兩個(gè)條件作為基礎(chǔ),那些攻擊者就非常容易發(fā)動(dòng)一場(chǎng)拒絕服務(wù)攻擊。所有攻擊者要做的就是找到一個(gè)開放的DNS解析器,制作一個(gè)虛擬UDp數(shù)據(jù)包并偽造一個(gè)地址,對(duì)著目標(biāo)網(wǎng)站將其發(fā)送到DNS服務(wù)器上面。當(dāng)服務(wù)器接收到攻擊者發(fā)送的請(qǐng)求,將會(huì)信以為真,并且向偽造地址發(fā)送請(qǐng)求回應(yīng)。事實(shí)上是目標(biāo)網(wǎng)站接收了互聯(lián)網(wǎng)上一群開放的DNS解析器的請(qǐng)求與回復(fù),從而代替了僵尸網(wǎng)絡(luò)的攻擊。另外,這類攻擊具有非常大的伸縮性,因?yàn)槟憧梢越oDNS服務(wù)器發(fā)送一種UDp數(shù)據(jù)包,請(qǐng)求某一側(cè)的轉(zhuǎn)存,造成一個(gè)大流量的回應(yīng)。
DDOS攻擊的多種途徑
拒絕服務(wù)曾經(jīng)是一種非常簡(jiǎn)單的攻擊方式。有些人開始在他們的電腦上運(yùn)行pING命令,鎖定目標(biāo)地址,讓其高速運(yùn)轉(zhuǎn),試圖向另一端發(fā)送洪水般的ICMp請(qǐng)求指令或者數(shù)據(jù)包。當(dāng)然,因?yàn)檫@邊發(fā)送速度的改變,攻擊者需要一個(gè)比對(duì)方站點(diǎn)更大的帶寬。先,他們會(huì)搬到有大型主機(jī)的地方,類似有大學(xué)服務(wù)器或者教研所那樣的大型帶寬的地方,然后從這里發(fā)出攻擊。但現(xiàn)代的僵尸網(wǎng)絡(luò)在任何情況下幾乎都能使用,相對(duì)來(lái)說(shuō)它的操作更簡(jiǎn)單,使攻擊完全分布開來(lái),顯得更加隱蔽。
事實(shí)上,因?yàn)閻阂廛浖闹圃煺?,僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)已經(jīng)成為了一條鮮明的產(chǎn)業(yè)鏈。實(shí)際他們已經(jīng)開始出租那些肉機(jī),并且按小時(shí)收費(fèi)。如果有人想要搞垮一個(gè)網(wǎng)站,只要給這些攻擊者付夠錢,然后就會(huì)有成千上萬(wàn)的僵尸電腦去攻擊那個(gè)網(wǎng)站。一臺(tái)受感染的電腦或許無(wú)法把一個(gè)站點(diǎn)搞垮,但若是有10000臺(tái)以上的電腦同時(shí)發(fā)送請(qǐng)求,它們會(huì)將把未受保護(hù)的服務(wù)器"塞滿"。
如何保護(hù)你的網(wǎng)絡(luò)
正如你所見,DDOS攻擊五花八門,防不勝防,當(dāng)你想建立一個(gè)防御系統(tǒng)對(duì)抗DDOS的時(shí)候,你需要掌握這些攻擊的變異形態(tài)。
笨的防御方法,就是花大價(jià)錢買更大的帶寬。拒絕服務(wù)就像個(gè)游戲一樣。如果你使用10000個(gè)系統(tǒng)發(fā)送1Mbps的流量,那就意味著你輸送給你的服務(wù)器每秒鐘10Gb的數(shù)據(jù)流量。這就會(huì)造成擁堵。這種情況下,同樣的規(guī)則適用于正常的冗余。這時(shí),你就需要更多的服務(wù)器,遍布各地的數(shù)據(jù)中心,和更好的負(fù)載均衡服務(wù)了。將流量分散到多個(gè)服務(wù)器上,幫助你進(jìn)行流量均衡,更大的帶寬能夠幫你應(yīng)對(duì)各種大流量的問題。但現(xiàn)代的DDOS攻擊越來(lái)越瘋狂,需要的帶寬越來(lái)越大,你的財(cái)政狀況根本不允許你投入更多的資金。另外,絕大多數(shù)的時(shí)候,你的網(wǎng)站并不是主要攻擊目標(biāo),很多管理員都忘了這一點(diǎn)。
網(wǎng)絡(luò)中關(guān)鍵的一塊就是DNS服務(wù)器。將DNS解析器處于開放狀態(tài)這是絕對(duì)不可取的,你應(yīng)當(dāng)把它鎖定,從而減少一部分攻擊風(fēng)險(xiǎn)。但這樣做了以后,我們的服務(wù)器就安全了嗎?答案當(dāng)然是否定的,即使你的網(wǎng)站,沒有一個(gè)可以鏈接到你的DNS服務(wù)器,幫你解析域名,這同樣是非常糟糕的事情。大多數(shù)完成注冊(cè)的域名需要兩個(gè)DNS服務(wù)器,但這遠(yuǎn)遠(yuǎn)不夠。你要確保你的DNS服務(wù)器以及你的網(wǎng)站和其他資源都處于負(fù)載均衡的保護(hù)狀態(tài)下。你也可以使用一些公司提供的冗余DNS。比如,有很多人使用內(nèi)容分發(fā)網(wǎng)絡(luò)(分布式的狀態(tài))給客戶發(fā)送文件,這是一種很好的抵御DDOS攻擊的方法。若你需要,也有很多公司提供了這種增強(qiáng)DNS的保護(hù)措施。
若是你自己管理你的網(wǎng)絡(luò)和數(shù)據(jù),那么就需要著重保護(hù)你的網(wǎng)絡(luò)層,要進(jìn)行很多配置。先確保你所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包,剔除掉一些不用的協(xié)議,比如ICMp這種的。然后設(shè)置好防火墻。很顯然,你的網(wǎng)站永遠(yuǎn)不會(huì)讓隨機(jī)DNS服務(wù)器進(jìn)行訪問,所以沒有必要允許UDp 53端口的數(shù)據(jù)包通過你的服務(wù)器。此外,你可以讓你的供應(yīng)商幫你進(jìn)行一些邊界網(wǎng)絡(luò)的設(shè)置,阻止一些沒用的流量,保證你能夠得到一個(gè)大的通暢的帶寬。很多網(wǎng)絡(luò)供應(yīng)商都給企業(yè)提供這種服務(wù),你可以與其網(wǎng)絡(luò)運(yùn)營(yíng)中心聯(lián)系,讓他們幫你優(yōu)化流量,幫你監(jiān)測(cè)一下你是否到了攻擊。
類似Syn的攻擊,也有很多方法來(lái)阻止,比如通過給TCp積壓,減少Syn-Receive定時(shí)器,或者使用Syn緩存等等。
后,你還得想想如何在這些攻擊到達(dá)你網(wǎng)站前就將它們攔截住。例如,現(xiàn)代網(wǎng)站應(yīng)用了許多動(dòng)態(tài)資源。在受到攻擊的時(shí)候其實(shí)帶寬是比較容易掌控的,但終往往受到損失的是數(shù)據(jù)庫(kù)或是你運(yùn)行的腳本程序。你可以考慮使用緩存服務(wù)器提供盡可能多的靜態(tài)內(nèi)容,還要快速用靜態(tài)資源取代動(dòng)態(tài)資源并確保檢測(cè)系統(tǒng)正常運(yùn)行。
糟糕的一種情況就是你的網(wǎng)絡(luò)或站點(diǎn)完全癱瘓了,你應(yīng)該在攻擊剛剛開始的時(shí)候就做好預(yù)備方案。因?yàn)楣粢坏╅_始,想要從源頭阻止DDOS是非常困難的。后,你應(yīng)該好好琢磨琢磨如何讓你的基礎(chǔ)建設(shè)更加合理與安全,并且要著重注意你的網(wǎng)絡(luò)設(shè)置。這些都是非常重要的。
以上就是我們大連網(wǎng)站建設(shè)公司教您的如何應(yīng)對(duì)DDOS的攻擊的方法,看完以上的內(nèi)容您是不是對(duì)如何應(yīng)對(duì)DDOS的攻擊已經(jīng)有了一定的了解了呢?
上一篇:
暫無(wú)信息更多新聞
2020
身為一名seo老手,對(duì)于了解seo網(wǎng)站優(yōu)化來(lái)說(shuō),學(xué)習(xí)它相對(duì)容易,但是能夠正確理解相應(yīng)的理論,能夠在適當(dāng)?shù)臅r(shí)間,適當(dāng)?shù)牡攸c(diǎn)使用適當(dāng)?shù)膕eo技術(shù),并產(chǎn)生良好的排序結(jié)
View details
2020
關(guān)于搜索引擎優(yōu)化,在做網(wǎng)站SEO優(yōu)化時(shí),很多Seoer遇到的一個(gè)問題是優(yōu)化時(shí)間過長(zhǎng),效果不盡如人意,或達(dá)不到理想的效果,而如果沒有對(duì)關(guān)鍵詞進(jìn)行排名,那么網(wǎng)站的
View details
2020
關(guān)于網(wǎng)站優(yōu)化,網(wǎng)絡(luò)推廣是現(xiàn)階段電商進(jìn)行網(wǎng)絡(luò)營(yíng)銷的重要方式,在推廣過程中光大電商采用多種多樣的方式拓寬銷售渠道,最終獲得更多的客戶,進(jìn)而轉(zhuǎn)化為經(jīng)濟(jì)效
View details
2020
關(guān)于網(wǎng)站優(yōu)化一直是各大公司比較重視的一點(diǎn),因?yàn)樽龊脙?yōu)化之后,不僅可以提升公司的品牌形象,更能吸引更多的用戶。因此站點(diǎn)每天都要對(duì)內(nèi)容進(jìn)行優(yōu)化,以便能
View details