有许多行之有效的方法可以在发起 DDoS 攻击后对其进行识别。其中最简单和最明显的是当您的网站或网络突然变慢或无法访问时。然而,这种症状也可能引起混乱,因为真正的流量激增也可能是造成这种放缓的原因。因此,在确定您确实面临 DDoS 攻击之前,您必须进行一些进一步的检查。流量分析工具可以帮助您发现 DDoS 攻击的一些更具体的症状。以下是其中一些症状:,, 如何抵御这样的 DDoS 攻击?,在规划对 DDoS 攻击的抵抗力时,您必须弄清楚的主要事情是区分普通流量和攻击流量。 在确定什么是什么之后,就该采取行动了。以下是防止所有三种类型的此类攻击的一些方法:, 应用前端硬件,这些是在任何流量到达服务器之前放置在网络上的智能硬件。他们在数据包进入系统时对其进行分析,并将其组织为优先级、常规或危险性。这些用于与路由器和交换机集成的网络。, 黑洞和沉洞,黑洞是指攻击特定 IP 的所有流量都被重定向到不存在的服务器,也就是黑洞。这将更有效,并且为了避免网络连接,它可以由 ISP 管理。,Sinkholing 对于大多数严重的攻击来说效率不高,因为在 sinkholing 中,流量被发送到有效的 IP 地址,该地址会分析并拒绝坏数据包。, 上游过滤,在进入服务器之前,所有流量都通过“清理中心”或“洗涤中心”通过代理、隧道或数字交叉连接器等不同方法,过滤不良流量(DDoS 和其他常见的互联网攻击)并仅通过良好流量. 在这种方法中,提供商需要具有与互联网的中央连接才能管理此类服务。,, 基于 DDS 的防御,DoS 防御系统 (DDS) 可以阻止基于连接的 DoS 攻击和合法内容,但具有不良意图。DDS 可以防止协议攻击(死亡 ping 和泪珠)和基于速率的攻击(ICMP 洪水和 SYN 洪水)。, 防火墙,在简单攻击的情况下,可以根据协议、端口或原始 IP 地址拒绝来自攻击者的所有传入流量。但是更复杂的攻击将很难用简单的规则来阻止。, ,有许多行之有效的方法可以在发起 DDoS 攻击后对其进行识别。其中最简单和最明显的是当您的网站或网络突然变慢或无法访问时。然而,这种症状也可能引起混乱,因为真正的流量激增也可能是造成这种放缓的原因。因此,在确定您确实面临 DDoS 攻击之前,您必须进行一些进一步的检查。流量分析工具可以帮助您发现 DDoS 攻击的一些更具体的症状。以下是其中一些症状:,,
在慢发布 DDoS 攻击中,攻击者将合法的 HTTP POST 标头发送到 Web 服务器。在这些标头中,正确指定了将遵循的消息正文的大小。但是,消息正文以令人痛苦的低速发送。这些速度可能慢到每两分钟一个字节。由于消息被正常处理,目标服务器将尽力遵循指定的规则。就像在Slowloris 攻击中一样,服务器随后会变慢到爬行。更糟糕的是,当攻击者同时发起数百甚至数千个慢速POST攻击时,服务器资源被迅速消耗,使得合法连接无法实现。,, DDoS 攻击后缓慢的迹象是什么?,慢 Post DDoS 攻击的特点是传输针对基于线程的 Web 服务器的 HTTP POST 标头请求,发送数据非常缓慢,但不足以使服务器超时。由于服务器保持连接打开以期待额外的数据,因此阻止了真正的用户访问服务器。服务器看起来有大量连接的客户端,但实际处理负载会非常低。, 为什么缓慢的后期 DDoS 攻击很危险?,由于慢后 DDoS 攻击不需要大量带宽,例如蛮力DDoS 攻击所需的带宽,因此很难将它们与正常流量区分开来。由于这些类型的应用层 DDoS 攻击不需要大量资源,它们可以从一台计算机发起,这使得它们非常容易启动且难以缓解。, 如何减轻和防止缓慢的 DDoS 后攻击,由于传统的速率检测技术无法阻止慢速 DDoS 攻击,因此一种方法是升级服务器可用性。我们的想法是,服务器上可用的连接越多,攻击就越不可能淹没该服务器。不幸的是,在许多情况下,攻击者会简单地扩大攻击范围以试图使增加的服务器容量过载。另一种方法是基于反向代理的保护,它将在到达服务器之前拦截慢速 DDoS 攻击。虽然没有任何措施可以完全消除慢后 DDoS 攻击的威胁,但可以采取以下额外步骤:, ,在慢发布 DDoS 攻击中,攻击者将合法的 HTTP POST 标头发送到 Web 服务器。在这些标头中,正确指定了将遵循的消息正文的大小。但是,消息正文以令人痛苦的低速发送。这些速度可能慢到每两分钟一个字节。由于消息被正常处理,目标服务器将尽力遵循指定的规则。就像在Slowloris 攻击中一样,服务器随后会变慢到爬行。更糟糕的是,当攻击者同时发起数百甚至数千个慢速POST攻击时,服务器资源被迅速消耗,使得合法连接无法实现。,,
在这篇文章的前半部分,了解 DDoS 攻击,我们讨论了 DDoS 攻击的具体细节。在这里,我们将讨论您可以如何采取实际步骤来保护您的组织免受 DDoS 的破坏。超过80% 的公司在 2017 年至少经历过一次 DDoS 攻击。这不再是是否会发生的问题,而是您所在的组织何时会受到 DDoS 攻击的问题。公司如何实施有效的策略来防御 DDoS 攻击?让我们来看看。,, 缓解 DDoS 攻击的最佳实践,2016 年,我们看到了第一次武器化的物联网僵尸网络攻击,它使用Mirai 恶意软件有效地摧毁了Netflix、Twitter、Reddit 等主流网站。从那时起,黑客可用的工具和方法只会增加。更糟糕的是,发起 DDoS 攻击的价格已经下降。它只会花费需要你的僵尸网络租用20 $有290-300吉比特保证DDoS攻击速率。,对于每个企业来说,拥有某种针对大型 DDoS 攻击的保护措施非常重要。许多经典的 DDoS 保护形式无法对数据冲击采取细致入微的方法。他们没有将合法数据与恶意数据分开,而是简单地不加选择地丢弃所有传入的数据。,但是,并非每种类型的 DDoS 保护都对每种类型的攻击都有效。基于流量的监控对于容量攻击很有效,但对于网络协议和应用程序攻击则不太有效。另一方面,数据包分析对所有三个都有效。,您的 ISP 或云提供商提供的 DDoS 保护不太可能提供您需要的全面防御系统。他们有兴趣保护自己的基础设施。您有兴趣保护您的应用程序和网络。因此,您不应完全依赖它们来提供全面的 DDoS 保护。, DDoS 防护的四个要求,现代 DDoS 防御应包括四个关键要求:,不幸的是,由于以下原因,遗留系统无法满足这些要求:, DDoS 保护的现代方法,多向量 DDoS 攻击的频率呈指数增长。IDG 的 DDoS 策略研究表明,UDP 洪水攻击占所有攻击的 20%。按层分类:,黑客对单个目标使用多种类型的攻击。对于现代 DDoS 保护解决方案来说,满足四个关键要求中的每一个都比以往任何时候都更加重要:精度、可扩展性、战时响应效率和可负担性。如果不全面,有效的 DDoS 保护策略将达不到要求。公司应该优先考虑多层混合解决方案,这些解决方案可以为任何类型的 DDoS 攻击提供持续保护。,一种现代的、自上而下的 DDoS 保护方法使用多种工具并实现多个目标:,公司通常实施三种部署模式之一。,为了从现代 DDoS 保护方法中获益并充分防御多向量攻击,通常建议组织采用混合部署模式。, DDoS 云清理,公司还需要寻找提供 DDoS 云清理的解决方案。这需要一种云服务,用于在攻击期间从组织的数据中心转移流量。然后,云清理服务将消除恶意流量,然后再通过 ISP 将合法流量发送回其正常路径。, DDoS 威胁情报,威胁情报是 DDoS 防御策略的另一个重要方面。没有它,公司将被迫使用猜测和盲目缓解来对抗攻击。借助威胁情报,组织可以在攻击其网络之前识别任何类型的常见威胁。公司努力从不完整和过时的威胁情报数据中找到重要的见解。公司必须关注可操作的威胁情报数据的实时馈送,以主动监控对象(例如僵尸网络、反射攻击代理的 IP 地址等)。, 正确的 DDoS 防御工具,公司不应低估找到合适的 DDoS 防御工具来使用的重要性。组织必须首先了解哪些类型的攻击最常见,哪些类型越来越流行。放大攻击是目前最常见的,紧随其后的是状态洪水,通常由僵尸网络发起。这包括物联网僵尸网络,例如Mirai 攻击中使用的僵尸网络。总之,融合技术和流程的综合 DDoS 解决方案将取得成功,这要归功于:, DDoS 防御的六个步骤,在 DDoS 攻击期间,有效的防御将包括:, ,在这篇文章的前半部分,了解 DDoS 攻击,我们讨论了 DDoS 攻击的具体细节。在这里,我们将讨论您可以如何采取实际步骤来保护您的组织免受 DDoS 的破坏。超过80% 的公司在 2017 年至少经历过一次 DDoS 攻击。这不再是是否会发生的问题,而是您所在的组织何时会受到 DDoS 攻击的问题。公司如何实施有效的策略来防御 DDoS 攻击?让我们来看看。,,公司不应低估找到合适的 DDoS 防御工具来使用的重要性。组织必须首先了解哪些类型的攻击最常见,哪些类型越来越流行。放大攻击是目前最常见的,紧随其后的是状态洪水,通常由僵尸网络发起。这包括物联网僵尸网络,例如Mirai 攻击中使用的僵尸网络。总之,融合技术和流程的综合 DDoS 解决方案将取得成功,这要归功于:
今天的分布式拒绝服务 (DDoS) 攻击与早期的攻击几乎无法识别,当时大多数是简单的、大规模的攻击,旨在造成尴尬和短暂的中断。攻击背后的动机越来越不清楚,技术变得越来越复杂,攻击频率呈指数级增长。考虑到自动攻击尤其如此,自动攻击允许攻击者以比任何人类或传统 IT 安全解决方案响应的速度更快的速度切换向量。,,现代攻击的规模、频率和持续时间的组合对任何在线组织都构成了严重的安全性和可用性挑战。几分钟甚至几十分钟的停机或延迟会显着影响基本服务的交付。当您将这些因素结合起来时,受害者将面临重大的安全性和服务可用性挑战。以下是确保您的网络免受 DDoS 攻击的七个注意事项。,1、记录您的 DDoS 弹性计划:这些弹性计划应包括技术能力,以及概述如何在成功拒绝服务攻击的压力下继续业务运营的综合计划。事件响应团队应建立并记录与企业的沟通方法,包括组织所有分支机构的关键决策者,以确保相应地通知和咨询关键利益相关者。,2、识别 DDoS 攻击活动:大型、高容量 DDoS 攻击并不是 DDoS 活动的唯一形式。黑客通常会发起短期、小规模的攻击,以对您的网络进行压力测试,并在您的安全范围内发现安全漏洞。了解您的网络流量模式并寻找可实时识别 DDoS 攻击流量并立即消除大大小小的 DDoS 攻击的DDoS 攻击防护解决方案。,3、不要认为只有大规模的容量攻击才是问题所在:DDoS 攻击者变得越来越老练;他们的目标不仅是瘫痪网站,而且是通过低带宽、不饱和的 DDoS 攻击来分散 IT 安全人员的注意力,这种攻击是更邪恶的网络渗透(例如勒索软件)的烟幕弹。此类攻击通常持续时间短(不到 5 分钟)且规模大,这意味着它们很容易在雷达下溜走,而不会被流量监控器甚至某些 DDoS 保护系统检测到或缓解。,4、不要依赖流量监控或阈值:当然,您可以注意到流量高峰时,但您能区分好流量和坏流量吗?如果你真的看到了一个尖峰,你会怎么做?您能否仅阻止不良流量,或者您的网络资源是否会不堪重负?监控您的流量和设置阈值限制不是一种保护形式,尤其是当您考虑到阈值触发器通常不会注意到小的、不饱和的攻击时。,5、不要依赖 IPS 或防火墙:入侵防御系统(IPS) 和防火墙都无法保护您。即使是声称内置了抗 DDoS 功能的防火墙也只有一种阻止攻击的方法:使用不加区分的阈值。当达到阈值限制时,使用该端口的每个应用程序和每个用户都会被阻止,从而导致中断。攻击者知道这是与攻击者一起阻止好用户的有效方法。由于网络和应用可用性受到影响,拒绝服务的最终目标得以实现。,6、与缓解提供商合作:今天,许多 ISP 提供DDoS 保护计划,作为增值服务或高级服务。了解您的 ISP 提供免费还是付费的 DDoS 保护计划。但是在您受到攻击之前很久就联系您的 ISP;如果您没有适当的 DDoS 保护并且已经受到攻击,您的 ISP 可能无法立即注册您然后阻止 DDoS 流量到您的站点。或者,您可以购买本地或虚拟 DDoS 保护产品。DDoS 保护具有多种部署可能性;通过本地防 DDoS 设备或虚拟机 (VM)实例。请务必寻找丰富的实时 DDoS 安全事件分析和报告以及自动缓解。,7、将缓解时间与成功的攻击保护相结合:当您制定弹性计划并选择 DDoS 保护方法时,缓解时间必须是您决策过程中的关键因素。请记住,DDoS 缓解服务可以作为自动化 DDoS 缓解解决方案的有用辅助工具。但是,仅靠缓解服务是不够的,因为 1) 在使用服务之前,某人或某物(计算机或人)必须检测到正在进行的 DDoS 攻击,以及 2) 重定向“不良”流量需要 20-30 分钟,从而允许在此期间发生更多恶意的安全漏洞。面对 DDoS 攻击,时间至关重要。等待几分钟、几十分钟甚至更多时间来缓解 DDoS 攻击都不足以确保服务可用性或安全性。, ,今天的分布式拒绝服务 (DDoS) 攻击与早期的攻击几乎无法识别,当时大多数是简单的、大规模的攻击,旨在造成尴尬和短暂的中断。攻击背后的动机越来越不清楚,技术变得越来越复杂,攻击频率呈指数级增长。考虑到自动攻击尤其如此,自动攻击允许攻击者以比任何人类或传统 IT 安全解决方案响应的速度更快的速度切换向量。,,
了解什么是 DDoS 攻击?简单来说,DDoS 攻击是一种网络攻击,其中一组计算机的流量以服务器、网络或服务为目标,试图从合法流量中提取资源。这组计算机称为僵尸网络,它是在攻击者的控制下受到恶意软件危害的计算机网络。需要注意的是,DoS 和 DDoS 攻击之间存在明显区别。,,DoS 或拒绝服务攻击是一种攻击,其中一台计算机被用来用 TCP 或 UDP 数据包淹没服务器。相比之下,DDoS 攻击使用多个设备。因此,DDoS 攻击更加强大,因为它们将更多设备的资源用作武器。网络犯罪分子使用多种不同类型的 DDoS 攻击来利用一系列漏洞。当攻击者同时发起多次攻击时,防御这些漏洞可能会很棘手。了解如何防止 DDoS 攻击和保护自己取决于您对潜在威胁的了解。, 3 种类型的 DDoS 攻击,DDoS 攻击的多样性使预防成为一项挑战,因为每种技术都需要不同形式的保护和补救措施。但是,DDoS 攻击分为三大类:容量、协议和应用层攻击。, 体积攻击:此类攻击使用大量数据包(例如 UDP 和 ICMP)来消耗目标网络或站点的带宽。示例包括 UDP 泛洪和 ICMP 泛洪攻击。, 协议攻击:这种类型的攻击将协议武器化以发送请求并占用服务器、防火墙或负载均衡器的资源。示例包括 Ping of Death、SYN flood 和 Smurf 攻击。, 应用层攻击:这种类型的攻击利用单个应用程序(如 Web 服务器)中的漏洞发送无休止的请求。应用层攻击可能会导致 Web 服务器崩溃。, 为什么会发生 DDoS 攻击?,许多企业都难以想象有人试图将其网络置于离线状态的原因。然而,DDoS 攻击背后有许多动机。这些攻击背后的动机从苦涩的前雇员和政治活动家到以勒索企业主为生的网络犯罪分子。,,令人惊讶的是,个人不需要技术知识就可以直接发起 DDoS 攻击。相反,他们可以聘请网络犯罪分子以低至 5.00 美元的价格进行 DDoS 攻击。发起攻击的低成本意味着几乎任何人都可以发送恶意流量,即使他们没有任何技术知识。,不管有人有什么理由攻击你的公司,你都需要做好准备。不要错误地认为它永远不会发生在你身上,因为它每天都会发生在毫无戒心的公司身上。相反,采取必要的保护措施,例如网络安全软件解决方案,这样您就可以高枕无忧,因为您已做好充分准备,以防万一。, 你受到攻击的关键迹象,识别 DDoS 攻击的迹象是防止停机的第一步。如果您遇到以下任何问题,那么您可能会受到攻击:,如果您开始看到上述任何迹象,您应该仔细看看发生了什么,但不要惊慌。有时您会因为流量高峰和合法使用而遇到连接问题,因此服务中断并不总是意味着您受到攻击!但是,如果您发现服务有任何异常或长时间中断,则应进一步调查。如果您受到 DDoS 攻击,越早做出反应越好。, ,了解什么是 DDoS 攻击?简单来说,DDoS 攻击是一种网络攻击,其中一组计算机的流量以服务器、网络或服务为目标,试图从合法流量中提取资源。这组计算机称为僵尸网络,它是在攻击者的控制下受到恶意软件危害的计算机网络。需要注意的是,DoS 和 DDoS 攻击之间存在明显区别。,,
准备几乎总是抵御 DDoS 攻击的最佳防线。主动阻止流量比被动好。由于无法始终阻止 DDoS 攻击,因此您应该结合使用预防和响应技术来以最小的中断解决事件。最终,您或您的团队反应越快,造成的损害就越小。, 1.更改服务器IP或立即致电您的ISP,当全面的 DDoS 攻击正在进行时,更改服务器 IP 和 DNS 名称可以阻止攻击的发生。但是,如果攻击者保持警惕,那么他们也可能会开始向您的新IP 地址发送流量。如果更改 IP 失败,您可以致电您的互联网服务提供商 (ISP) 并请求他们阻止或重新路由恶意流量。,, 2.监控您的网站流量,网站流量激增是 DDoS 攻击的主要指标之一。使用监控网站流量的网络监控工具会告诉您 DDoS 攻击何时开始。许多DDoS 保护软件提供商使用警报和阈值在资源收到大量请求时通知您。虽然流量监控不会阻止攻击,但它会帮助您快速响应并在攻击者瞄准您时开始缓解。, 3.建立冗余网络架构,设置网络架构以抵御 DDoS 攻击是保持服务正常运行的绝佳方式。您应该在地理位置上分散服务器等关键资源,以便攻击者更难将您置于离线状态。这样,即使一台服务器受到攻击,您也可以将其关闭并仍然为您的用户提供部分服务。, 4.使用 Web 应用程序防火墙 (WAF),Web 应用程序防火墙或 WAF 用于过滤应用程序和 Internet 之间的 HTTP 流量。当网络犯罪分子在应用层发起 DDoS 攻击时,应用防火墙会在恶意 HTTP 流量到达您的站点之前自动阻止它。您可以通过配置策略来决定过滤哪些流量,以确定哪些 IP 地址将被列入白名单或黑名单。, 5.配置防火墙和路由器!,配置防火墙和路由器等网络设备对于减少网络入口点至关重要。例如,防火墙将有助于阻止网络攻击者检测您的 IP 地址,因此他们将无处可发送流量。同样,路由器具有 DDoS 保护设置和过滤器,您可以使用它们来控制协议和数据包类型的访问。,, 6.启用地理封锁(国家封锁),地理封锁是阻止来自 DDoS 攻击频繁的外国的流量的做法。在大多数DDoS攻击流量来自中国,越南,韩国,台湾,所以来自这些地区的交通闭塞可能会限制你的曝光。虽然攻击者可以绕过地理封锁,但它可以减少您对海外僵尸网络的脆弱性。, 在为时已晚之前为 DDoS 攻击做好准备,不幸的是,即使世界上做了所有准备,强大的 DDoS 攻击也很难被击败。如果您成功抵御了攻击,您仍然可能会遭受某种形式的破坏。但是,通过适当的准备,您可以降低攻击使您失去行动的可能性。在攻击期间,您所能做的就是通知您的员工和客户解释性能问题。社交媒体帖子会让您的客户知道存在问题并且您正在努力解决问题。通过采取正确的措施,即使您无法完全防止损害,您也可以限制损害。重要的是采取行动并尽早开始建立防御。在这种情况下,您确实成为攻击的受害者,请保留源 IP 地址和其他数据的日志,以备将来发生后续攻击时参考。, ,准备几乎总是抵御 DDoS 攻击的最佳防线。主动阻止流量比被动好。由于无法始终阻止 DDoS 攻击,因此您应该结合使用预防和响应技术来以最小的中断解决事件。最终,您或您的团队反应越快,造成的损害就越小。, 1.更改服务器IP或立即致电您的ISP,
什么是 DDoS?DDoS 代表“分布式拒绝服务”。” DDoS 攻击是恶意尝试使服务器或网络资源对用户不可用,通常是通过暂时中断或暂停连接到 Internet 的主机的服务。与拒绝服务 (DoS) 攻击(其中使用一台计算机和一个 Internet 连接用数据包淹没目标资源)不同,DDoS 攻击使用多台计算机和许多 Internet 连接,这些连接通常分布在全球范围内,称为僵尸网络。,, Anti-DDoS 防护技术,DDoS 攻击主要有 3 种类型,每种类型都有自己独特的保护策略和工具:, 基于卷的攻击:基于容量的攻击会产生大量的网络级请求,使网络设备或服务器不堪重负。这些可能包括UDP 泛洪、ICMP 泛洪和其他使用欺骗网络数据包的攻击。为了防止基于流量的攻击,反 DDoS 提供商执行大规模“清理”,使用云服务器检查流量,丢弃恶意请求并让合法请求通过。这种方法可以应对大规模、数 GB 的 DDoS 攻击。这也称为 DDoS 通缩。, 协议攻击:协议攻击会生成利用网络协议弱点的请求。其中包括SYN 泛洪、碎片化数据包和Ping of Death。为了防止协议攻击,反 DDoS 工具通过在不良流量到达您的站点之前阻止它来减轻协议攻击。高级解决方案可以分析流量并将合法用户与恶意、自动化的客户端和机器人区分开来。, 应用层攻击:在应用层攻击中,攻击者向 Web 应用程序或其他软件应用程序生成大量请求,这些请求似乎来自合法用户。其中包括 GET/POST 泛洪、低速攻击或针对 Apache 或 Windows漏洞的特定攻击。为了防止应用层攻击,反 DDoS 系统会监控站点访问者的行为,阻止负责应用层攻击的恶意机器人,并使用多种机制(例如 JavaScript 测试、cookie 挑战和CAPTHA)挑战无法识别的访问者。, 防 DDoS 软件解决方案,Anti-DDoS 软件在现有硬件上运行,分析并过滤掉恶意流量。通常,Anti-DDoS 软件比基于硬件的解决方案更具成本效益且更易于管理。但是,基于软件和脚本的解决方案只能提供部分 DDoS 攻击保护,容易出现误报,并且无助于缓解基于数量的 DDoS 攻击。本地安装的软件比设备或基于云的解决方案更容易不堪重负,后者在面对大型攻击时更具可扩展性。, 防DDoS防火墙,DDoS 攻击试图通过用大量看似合法的请求淹没服务器/防火墙来压倒它。传统防火墙难以有效拦截DDoS攻击,往往自身成为海量请求的瓶颈,使攻击更加严重。传统防火墙的一些弱点可以通过调整网络拓扑结构以及优化防火墙和入侵防御/检测系统(IPS/IDS) 的部署和配置来缓解。但即使是最佳的防火墙部署和配置也无法消除 DDoS 损害,尤其是在应用层攻击场景中。,Web 应用程序防火墙 (WAF) 可以充当反 DDoS 防火墙,可以智能地清除不良请求,是 DDoS 保护的有效且经济的替代方案。WAF 通常部署在云中,通过发送 cookie 或其他响应来响应可疑的应用程序请求——在允许访问系统之前确保用户是真实的并且请求是有效的。, 防DDoS硬件解决方案,防 DDoS 硬件是潜在攻击者和您的网络之间的物理保护层。尽管抗 DDoS 硬件可以防止某些类型的攻击,但其他类型(如 DNS 攻击)完全不受硬件影响,因为损坏甚至在流量到达设备之前就已完成。硬件保护可能很昂贵。除了硬件本身的资本支出外,维护、安置和运行设备所需的设施和熟练人力还需要大量运营费用。额外的成本是设备折旧和升级。, 防DDoS托管,降低 DDoS 攻击风险的一种常见方法是与支持 DDoS 的托管服务提供商签订合同,该提供商已经拥有在发生 DDoS 攻击时吸收不良流量所需的设备。但是,Anti-DDoS 托管的效率有限,并且比传统托管成本高得多。在 Anti-DDoS 托管生态圈中,网站所有者通常有两种选择:,但是,这两个选项都没有提供智能应用层DDoS 缓解。此外,Anti-DDoS 托管的成本效益低于其他选项,因为吸收 DDoS 流量是有代价的,并且不提供基于智能行为/签名的识别。在典型的 Anti-DDoS 托管场景中,网站所有者会持续为用于吸收潜在攻击的带宽付费——即使没有此类攻击正在进行。一个更具成本效益和灵活性的选择是识别攻击,并按需扩展以响应它们。, ,什么是 DDoS?DDoS 代表“分布式拒绝服务”。” DDoS 攻击是恶意尝试使服务器或网络资源对用户不可用,通常是通过暂时中断或暂停连接到 Internet 的主机的服务。与拒绝服务 (DoS) 攻击(其中使用一台计算机和一个 Internet 连接用数据包淹没目标资源)不同,DDoS 攻击使用多台计算机和许多 Internet 连接,这些连接通常分布在全球范围内,称为僵尸网络。,,
分布式拒绝服务 (DDoS) 攻击是一种暴力尝试,可以降低服务器速度或使服务器完全崩溃。尽管仍然对企业构成严重威胁,但企业意识的增强以及 Internet 安全软件的增强有助于减少攻击的数量。尽管如此,任何拒绝服务都代表着严重的风险——但这些攻击究竟是如何运作的,它们究竟能造成什么样的损害?,,对企业的经济损失可能是严重的。一个由卡巴斯基实验室最近的一项研究显示,DDoS 攻击可以花费公司超过160万$ -一大笔钱对任何一家公司。DDoS 攻击几乎可以理解为“烟幕弹”,在另一次攻击(如数据盗窃)发生时转移员工的注意力。这强调了不惜一切代价防范 DDoS 攻击并采取必要的安全程序以避免灾难性经济损失的重要性。, DDoS 剖析,DDoS 攻击的目标是通过向服务器或网络资源发出大量服务请求来切断用户与服务器或网络资源的联系。虽然简单的拒绝服务涉及一台“攻击”计算机和一个受害者,但分布式拒绝服务依赖于能够同时执行任务的受感染计算机或“机器人”计算机的军队。,这个“僵尸网络”是由利用易受攻击的系统的黑客构建的,将其转变为僵尸大师。botmaster 寻找其他易受攻击的系统并使用恶意软件感染它们——最常见的是特洛伊木马病毒。当足够多的设备被感染时,黑客命令它们进行攻击;每个系统开始向目标服务器或网络发送大量请求,使其过载以导致速度减慢或完全失败。,有几种常见的 DDoS 攻击类型,例如基于卷、协议和应用层。基于流量的攻击包括 UDP、ICMP 和任何其他试图消耗带宽的欺骗性数据包泛洪;这种攻击产生的每秒比特 (Bps) 速率越高,它就越有效。协议攻击直接攻击服务器资源,包括 Smurf DDoS、Ping of Death 和 SYN floods。如果达到足够大的每秒数据包速率,服务器将崩溃。,最后,零日DDoS 或 Slowloris等应用层攻击通过发出看似合法但数量非常大的请求来针对应用程序。如果在足够短的时间内有足够多的请求,受害者的 Web 服务器将关闭。, DDoS 攻击的影响,DDoS 攻击可能会导致金钱、时间、客户甚至声誉的损失。根据攻击的严重程度,资源可能会离线 24 小时、多天甚至一周。事实上,卡巴斯基实验室的一项调查显示,五分之一的 DDoS 攻击可以持续数天甚至数周,证明它们的复杂性和对所有企业构成的严重威胁。,在攻击期间,任何员工都无法访问网络资源,而在运行电子商务站点的 Web 服务器的情况下,消费者将无法购买产品或获得帮助。美元数字各不相同,但如果攻击成功,公司每小时可能损失20,000 美元。,考虑对攻击中使用的“机器人”计算机的影响也很重要。虽然这些人通常被认为是自愿的罪魁祸首,但他们实际上是由于系统漏洞而陷入交火中的旁观者。在某些情况下,固有的安全问题可能会使特洛伊木马病毒潜入公司网络并感染计算机,而在其他情况下,员工打开未知电子邮件附件或下载未经验证的文件是原因。在 DDoS 事件期间,这些次要受害设备也会运行缓慢,如果自身资源消耗过大,可能会崩溃。即使它们保持运行,系统也不会很好地响应合法的服务请求。, 防御 DDoS,有多种方法可以防御 DDoS 攻击。根据卡内基梅隆软件工程研究所的说法,最常见的方法之一是限制任何用户在被“锁定”帐户之前可以进行的登录尝试次数。然而,在 DDoS 事件的情况下,此技术可用于对抗公司,有效地将用户长时间锁定在自己的计算机之外。应始终在系统中内置紧急接入点以应对这种情况。始终应该有其他可靠的反 DDoS 解决方案。为了使该解决方案的工作更加有效,公司可以执行以下操作:,此外,公司应禁用任何可能用作 DDoS 渗透点的不需要或不熟悉的网络服务。数据配额和磁盘分区功能也是一种帮助限制攻击影响的选项。为网络性能和服务器流量建立基线也很重要。没有明显原因的极高消耗率通常表明攻击者试图衡量公司防御的强度。除了这种监控,公司还应该投资一种特殊的反 DDoS 服务,该服务具有自动扫描功能,以检测最常见的 DDoS 攻击类型。该软件应定期更新以提供最大程度的保护。, DDoS:保护自己,分布式拒绝服务攻击可能会导致服务器中断和金钱损失,并对试图将资源恢复联机的 IT 专业人员造成过度压力。正确的检测和预防方法有助于在 DDoS 事件获得足以颠覆公司网络的势头之前阻止它。, ,分布式拒绝服务 (DDoS) 攻击是一种暴力尝试,可以降低服务器速度或使服务器完全崩溃。尽管仍然对企业构成严重威胁,但企业意识的增强以及 Internet 安全软件的增强有助于减少攻击的数量。尽管如此,任何拒绝服务都代表着严重的风险——但这些攻击究竟是如何运作的,它们究竟能造成什么样的损害?,,
分布式拒绝服务或 DDoS 攻击是阻止企业访问其流量的恶意尝试。在 DDoS 攻击期间,目标服务器充斥着由互联网上被利用的系统产生的不良流量。当您的网站成为 DDoS 攻击的受害者时,您的网站将在一段时间或很长时间内无法使用,具体取决于攻击的强度。保护您的网站免受 DDoS 攻击意味着实施一系列解决方案来处理黑客发送的虚假流量,从而使您的服务器资源不堪重负。网站所有者不应该等到他们的网站受到攻击才采取行动。建议对 DDoS 攻击采取主动方法,这里有一些非技术性的有效解决方案来保护您的网站免受这种恶意流量的侵害。,,鉴于 DDoS 攻击的数量一直在显着增加,并且每次攻击都可能对每个企业的规模或规模产生毁灭性的后果,因此尽早考虑 DDoS 缓解策略非常重要。以下是您可以采取哪些措施来保护您的网站或 Web 应用程序免受各种类型的 DDoS 攻击,并帮助您的网站始终保持在线状态。, 1. 实施服务器级 DDoS 防护,一些 Web 主机在其产品中包含服务器级 DDoS 缓解工具。由于网络托管公司并不总是提供此功能,因此您应该咨询您的网络托管服务商。一些公司将其作为免费服务提供,而另一些公司则将其作为付费附加服务提供。这一切都取决于提供商和托管计划。, 2. 提醒自己,您永远不会“太小”而不会受到 DDoS 攻击,许多小企业主认为他们的规模不足以成为网络攻击的受害者。然而,事实上,网络犯罪分子比大型企业更常针对小型企业和初创企业。这是因为大公司通常更倾向于实施安全解决方案来应对黑客的企图。如前所述,小型企业每次 DDoS 攻击可能遭受高达 120,000 美元的损失,因此,您的网站可能成为黑客的受害者,您应该努力提高网站的安全性。, 3. 防弹您的网络硬件配置,您可以通过进行一些简单的硬件配置更改来防止 DDoS 攻击。例如,您可以将防火墙或路由器配置为丢弃传入的 ICMP 数据包或阻止来自网络外部的 DNS 响应(通过阻止 UDP 端口 53)。这将有助于防止某些 DNS 和基于 ping 的容量攻击。, 4. 做好最坏的打算,提前做好 DDoS 攻击计划,提前规划网络攻击,使您能够在他们真正开始损害您的网站之前迅速做出反应。一个适当的网络安全计划包括一份将处理攻击的同事名单。它还概述了系统对资源进行优先排序以保持大多数应用程序和服务在线的方式,这可以防止您的业务崩溃。最后,您还可以计划如何联系支持攻击的 Internet 服务提供商,因为他们可能能够帮助完全阻止攻击。, 5. 切换到混合或基于云的解决方案,当您切换到使用混合或基于云的服务时,您可能会获得无限带宽。许多受 DDoS 影响的网站都是资源有限的网站。转向基于云的解决方案可以帮助您保持安全。, 6. 增加带宽,您可以采取的防御 DDoS 攻击的最基本步骤之一是使您的托管基础设施具有“DDoS 抗性”。从本质上讲,这意味着您准备了足够的带宽来处理可能由网络攻击引起的流量高峰。但是请注意,购买更多带宽本身并不能满足缓解 DDoS 攻击的完整解决方案。当您增加带宽时,它确实提高了攻击者在发起成功的 DDoS 攻击之前必须克服的门槛,但您应该始终将其与其他缓解策略结合起来以完全保护您的网站。, 7. 利用 CDN 解决方案,甚至更好的 Multi CDN,CDN 提供商提供了大量网络安全功能和工具来保护您的网站免受黑客攻击。他们还提供免费的 SSL 证书。更重要的是,当您将网站添加到这些服务提供商时,默认情况下它会提供 DDoS 保护以减轻对您的服务器网络和应用程序的攻击。这背后的基本原理是,当您利用 CDN 网络时,由于 CDN 的端口协议,所有未通过端口 80 和 443 访问的针对 L3/L4 的恶意请求都将被自动过滤掉。使用 CDN 可以平衡网站流量,这样您的服务器就不会不堪重负。此外,CDN 将您的流量分散到不同位置的服务器上,使黑客难以发现您的原始服务器以发起攻击。此外,借助多 CDN 解决方案,您将能够利用来自多个 CDN 提供商的大型 PoP 网络,从而使您的网站能够通过更大的每秒数兆位元的网络抵御 DDoS 攻击全球分布式网络。, ,分布式拒绝服务或 DDoS 攻击是阻止企业访问其流量的恶意尝试。在 DDoS 攻击期间,目标服务器充斥着由互联网上被利用的系统产生的不良流量。当您的网站成为 DDoS 攻击的受害者时,您的网站将在一段时间或很长时间内无法使用,具体取决于攻击的强度。保护您的网站免受 DDoS 攻击意味着实施一系列解决方案来处理黑客发送的虚假流量,从而使您的服务器资源不堪重负。网站所有者不应该等到他们的网站受到攻击才采取行动。建议对 DDoS 攻击采取主动方法,这里有一些非技术性的有效解决方案来保护您的网站免受这种恶意流量的侵害。,,
根据Akamai 的2015 年第三季度安全报告,DDoS 攻击总数增加了 179.66%!该数字表明,在过去两年中,犯罪分子、激进主义者和黑客出于恶意原因攻击了数量惊人的企业。它不仅会拒绝为企业用户提供服务,还会导致昂贵的账单。一些 DDoS 攻击甚至可能对企业造成经济损失!从尝试使用基于 ping 命令的 ICMP 回声请求来淹没目标到多向量攻击,多年来,DDoS 攻击变得越来越复杂。在这篇文章中,我们将看看不同类型的 DDoS 攻击。以下是不同 DDoS 攻击类型的列表。,, 1、应用级攻击,DDoS 攻击可以针对特定应用程序或编码错误的网站来利用其弱点并因此关闭整个服务器。WordPress(我们现在提供网络上最好的 WordPress 托管)和 Joomla 是两个可以针对耗尽服务器资源(RAM、CPU 等)的应用程序示例。数据库也可以通过旨在利用这些漏洞的 SQL 注入进行攻击。由于资源耗尽,耗尽的服务器将无法处理合法请求。存在安全漏洞的网站和应用程序也容易受到希望窃取信息的黑客的攻击。, 2、零日 (0day) DDoS,这是一个标准术语(如 John Doe),用于描述利用新漏洞的攻击。这些零日 DDoS 漏洞没有补丁或有效的防御机制。, 3、平洪水,作为 ICMP 洪水的演进版本,这种 DDoS 攻击也是特定于应用程序的。当服务器从非常大的源 IP 集收到大量欺骗性 Ping 数据包时,它就会成为 Ping Flood 攻击的目标。这种攻击的目标是用 ping 数据包淹没目标,直到它脱机。它旨在消耗网络中所有可用的带宽和资源,直到它完全耗尽并关闭。这种类型的 DDoS 攻击也不容易被检测到,因为它很容易类似于合法流量。, 4、IP空攻击,数据包包含 IPv4 标头,这些标头携带有关正在使用的传输协议的信息。当攻击者将此字段的值设置为零时,这些数据包可以绕过旨在扫描 TCP、IP 和 ICMP 的安全措施。当目标服务器尝试放置处理这些数据包时,它最终会耗尽其资源并重新启动。, 5、CharGEN 洪水,这是一个非常古老的协议,可用于执行放大攻击。CharGEN 放大攻击是通过向运行 CharGEN 的支持互联网的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。大多数支持 Internet 的打印机、复印机等默认启用此协议,可用于执行 CharGEN 攻击。这可用于在端口 19 上使用 UDP 数据包泛洪目标。当目标尝试理解这些请求时,它会失败。服务器最终将耗尽其资源并脱机或重新启动。, 6、SNMP泛洪,与 CharGEN 攻击一样,SNMP 也可用于放大攻击。SNMP 主要用于网络设备。SNMP 放大攻击是通过向运行 SNMP 的支持 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行的。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。但是,与CHARGEN 和DNS 攻击相比,SNMP 中的放大效果可能更大。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 7、NTP洪水,NTP 协议是另一种可公开访问的网络协议。NTP 放大攻击还通过向运行 NTP 的启用 Internet 的设备发送携带目标欺骗 IP 的小数据包来执行。然后使用这些对此类设备的欺骗请求将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 8、SSDP 洪水,支持 SSDP 的网络设备也可以从 Internet 访问 UPnP,这些设备是生成 SSDP 放大泛洪的简单来源。SSDP 放大攻击也是通过向设备发送带有欺骗目标 IP 的小数据包来进行的。这些对此类设备的欺骗请求用于将 UDP 泛洪作为这些设备的响应发送到目标。当目标试图理解这种大量的请求时,它最终将耗尽其资源并离线或重新启动。, 9、碎片化的 HTTP Flood,在这个针对已知漏洞的复杂攻击示例中,具有有效 IP 的 BOT...