溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要為大家分享 DDoS攻擊的防護手段。文中還介紹了黑客選擇DDoS的原因以及DDoS的攻擊方式,希望大家通過這篇文章能有所收獲。
全稱Distributed Denial of Service,中文意思為“分布式拒絕服務”,就是利用大量合法的分布式服務器對目標發送請求,從而導致正常合法用戶無法獲得服務。通俗點講就是利用網絡節點資源如:IDC服務器、個人PC、手機、智能設備、打印機、攝像頭等對目標發起大量攻擊請求,從而導致服務器擁塞而無法對外提供正常服務,只能宣布game over。
不同于其他惡意篡改數據或劫持類攻擊,DDoS簡單粗暴,可以達到直接摧毀目標的目的。另外,相對其他攻擊手段DDoS的技術要求和發動攻擊的成本很低,只需要購買部分服務器權限或控制一批肉雞即可,而且攻擊相應速度很快,攻擊效果可視。另一方面,DDoS具有攻擊易防守難的特征,服務提供商為了保證正常客戶的需求需要耗費大量的資源才能和攻擊發起方進行對抗。這些特點使得DDoS成為黑客們手中的一把很好使的利劍,而且所向霹靂。
從另一個方面看,DDoS雖然可以侵蝕帶寬或資源,迫使服務中斷,但這遠遠不是黑客的正真目的。所謂沒有買賣就沒有殺害,DDoS只是黑客手中的一枚核武器,他們的目的要么是敲詐勒索、要么是商業競爭、要么是要表達政治立場。在這種黑色利益的驅使下,越來越多的人參與到這個行業并對攻擊手段進行改進升級,致使DDoS在互聯網行業愈演愈烈,并成為全球范圍內無法攻克的一個頑疾。
一種服務需要面向大眾就需要提供用戶訪問接口,這些接口恰恰就給了黑客有可乘之機,如:可以利用TCP/IP協議握手缺陷消耗服務端的鏈接資源,可以利用UDP協議無狀態的機制偽造大量的UDP數據包阻塞通信信道……可以說,互聯網的世界自誕生之日起就不缺乏被DDoS利用的攻擊點,從TCP/IP協議機制到CC、DNS、NTP反射類攻擊,更有甚者利用各種應用漏洞發起更高級更精確的攻擊。
從DDoS的危害性和攻擊行為來看,我們可以將DDoS攻擊方式分為以下幾類:
a)資源消耗類攻擊
資源消耗類是比較典型的DDoS攻擊,最具代表性的包括:Syn Flood、Ack Flood、UDP
Flood。這類攻擊的目標很簡單,就是通過大量請求消耗正常的帶寬和協議棧處理資源的能力,從而達到服務端無法正常工作的目的。
b)服務消耗性攻擊
相比資源消耗類攻擊,服務消耗類攻擊不需要太大的流量,它主要是針對服務的特點進行精確定點打擊,如web的CC,數據服務的檢索,文件服務的下載等。這類攻擊往往不是為了擁塞流量通道或協議處理通道,它們是讓服務端始終處理高消耗型的業務的忙碌狀態,進而無法對正常業務進行響應。
c)反射類攻擊
反射攻擊也叫放大攻擊,該類攻擊以UDP協議為主,一般請求回應的流量遠遠大于請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規模的流量源,從而對目標發起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種,它只是利用某些服務的業務特征來實現用更小的代價發動Flood攻擊。
d)混合型攻擊
混合型攻擊是結合上述幾種攻擊類型,并在攻擊過程中進行探測選擇最佳的攻擊方式。混合型攻擊往往伴隨這資源消耗和服務消耗兩種攻擊類型特征。
一方面,在過去十幾年中,網絡基礎設施核心部件從未改變,這使得一些已經發現和被利用的漏洞以及一些成成熟的攻擊工具生命周期很長,即使放到今天也依然有效。另一方面,互聯網七層模型應用的迅猛發展,使得DDoS的攻擊目標多元化,從web到DNS,從三層網絡到七層應用,從協議棧到應用App,層出不窮的新產品也給了黑客更多的機會和突破點。再者DDoS的防護是一個技術和成本不對等的工程,往往一個業務的ddos防御系統建設成本要比業務本身的成本或收益更加龐大,這使得很多創業公司或小型互聯網公司不愿意做更多的投入。
DDoS的防護系統本質上是一個基于資源較量和規則過濾的智能化系統,主要的防御手段和策略包括:
a)資源隔離
資源隔離可以看作是用戶服務的一堵防護盾,這套防護系統擁有無比強大的數據和流量處理能力,為用戶過濾異常的流量和請求。如:針對Syn Flood,防護盾會響應Syn Cookie或Syn Reset認證,通過對數據源的認證,過濾偽造源數據包或發功攻擊的攻擊,保護服務端不受惡意連接的侵蝕。資源隔離系統主要針對ISO模型的第三層和第四層進行防護。
b)用戶規則
從服務的角度來說DDoS防護本質上是一場以用戶為主體依賴抗D防護系統與黑客進行較量的戰爭,在整個數據對抗的過程中服務提供者往往具有絕對的主動權,用戶可以基于抗D系統特定的規則,如:流量類型、請求頻率、數據包特征、正常業務之間的延時間隔等。基于這些規則用戶可以在滿足正常服務本身的前提下更好地對抗七層類的DDoS,并減少服務端的資源開銷。
c)大數據智能分析
黑客為了構造大量的數據流,往往需要通過特定的工具來構造請求數據,這些數據包不具有正常用戶的一些行為和特征。為了對抗這種攻擊,可以基于對海量數據進行分析,進而對合法用戶進行模型化,并利用這些指紋特征,如:Http模型特征、數據來源、請求源等,有效地對請求源進行白名單過濾,從而實現對DDoS流量的精確清洗。
d)資源對抗
資源對抗也叫“死扛”,即通過大量服務器和帶寬資源的堆砌達到從容應對DDoS流量的效果
億速云ddos防護介紹,可以提供多種接入防護方式,http://www.neiyidaogou.com/cloud/
ddos.asp
ddos高防主要針對億速云云主機、vps在遭受大流量的DDoS/CC攻擊后導致服務不可用的情況下,推出的專業高防服務(也可防護非億速云主機)。用戶通過配置DDoS高防,將惡意攻擊流量進行清洗過濾,從而保障主機穩定可靠的防護業務。
優勢:
有效抵御各類基于網絡層、傳輸層及應用層的DDoS攻擊。
針對交易類、加密類、七層應用、智能終端、在線業務攻擊精準防護,使得威脅無處可逃。
全自動檢測和攻擊策略匹配,實時防護,清洗服務可用性99.99%
操作簡單,一鍵開啟高防防護,用戶無需新增任何物理設備,秒級生效。
彈性選購方案,可按月、年按需購買。
支持電信、聯通、移動等防御,100G+的DDoS清洗能力,在用戶遭到DDoS攻擊時,通過億速云DDoS高防體系,幫助用戶抵御攻擊流量,保證業務的正常運行。可以完美防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC攻擊。
清晰直觀的流量實時監控系統,當攻擊發生時,清洗中心秒級響應,將攻擊流量牽引至清洗中心進行惡意流量的處置,再將正常的業務流量通過隔離的回送通道送達目標網站。
提供實時具備應用層抗DDoS攻擊的能力,重認證、身份識別、驗證碼等多種手段精確識別惡意訪問和真實訪問者,針對網站類CC和游戲類CC攻擊均可防御。適合電商促銷、金融行業推廣、企業門戶網站等重大活動中的安全預防場景。
支持TCP/UDP/HTTP/HTTPS,適合金融、電商、游戲、門戶、媒體等各類業務場景,支持DDoS,CC防御。
關于DDoS攻擊就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
