DDOS攻击作为最常见的网络攻击之一,防护DDOS往往会导致服务器运维人员焦头烂额,因为一旦服务器受到DDoS攻击,就会直接造成在线业务中断,对互联网企业是致命的打击。
一般而言,DDoS攻击可按其攻击的开放系统互连 (OSI) 模型的层级进行隔离。攻击最常发生在基础设施层和应用层。针对不同的攻击必须采用不同的防护DDOS策略,这样才更为有效。首先我们来了解一下什么叫基础设施层攻击和应用层攻击?
基础设施层攻击是最常见的DDoS攻击类型,即指网络层和传输层的攻击,包括同步(SYN)泛洪攻击和其他反射攻击等。这些攻击通常数量较大,具有清晰标识且易于检测,旨在让网络或应用程序服务器的容量过载。
应用层攻击与基础设施层攻击相比往往更加复杂,指的是表示层和应用层的攻击。这些攻击主要针对于应用程序的特定昂贵部分攻击,数量不会很大,使真实用户无法使用应用程序。例如,登录页的大量HTTP请求、昂贵的搜索 API,甚至 Wordpress XML-RPC 泛洪(也称为 Wordpress pingback 攻击)。
要防护ddos攻击就首先必须先知道检测攻击,就是了解什么是正常和异常流量。需要了解目标通常接收的良好流量的特征,并能够将每个数据包与基线进行比较。基线是指不影响可用性的情况下,主机可以处理的最大流量,也称为速率限制。更高级的保护技术可以更进一步,并且只能通过分析单个数据包本身智能地接受合法的通信。
良好的DDoS防护技术可以从以下三方面进行:
一、为复杂的应用程序攻击部署防火墙
防御利用应用程序本身中漏洞进行的攻击的最佳方式是使用Web应用程序防火墙,如SQL注入或跨站点请求伪造。此外,由于这些攻击的独特性,可以轻松创建针对非法请求的自定义缓解措施,这些请求可能具有伪装成良好流量或来自坏IP、意外地理位置等特征。有时,它还有助于缓解攻击,因为它们可能会获得经验支持,以研究流量模式并创建自定义保护。
二、扩展带宽和服务器容量
缓解大容量DDoS攻击的两个主要考虑因素是带宽(或传输)容量和服务器容量,以吸收和缓解攻击。
由于DDoS攻击的最终目标是影响您的资源/应用程序的可用性,因此构建应用程序时,需要提供充足的冗余Internet连接,保障能够处理大量流量,将它们置于靠近最终用户和大型Internet交换台的位置,这样即使在大量流量的情况下,您的用户也可以轻松访问您的应用程序。此外Web应用程序还可以进一步利用内容分发网络(CDN)和智能DNS解析服务从通常靠近最终用户的位置提供内容和解析DNS查询。
大多数DDoS攻击都是容量攻击,占用大量资源;因此,要实现防护DDoS的目的,最重要的是可以快速向上或向下扩展计算资源。可以在较大的计算资源上运行,也可以通过具有更多支持较大容量的广泛网络接口或增强网络等功能的资源。此外,使用负载均衡器持续监控和转移资源之间的负载也很常见,以防止任何一个资源过载。
三、减少攻击表面积
还有一种缓解DDoS攻击技术,是将可能受到攻击的表面积降至最低,确保不会将应用程序或资源暴露给端口、协议或应用程序,从而限制攻击者的选择,并允许您在单个位置构建保护。在某些情况下,为了实现尽量减少可能攻击点的目的,可以将计算资源放置在内容分发网络(CDN)或负载均衡器之后,并将 Internet 直接流量限制在基础设施的某些部分,如数据库服务器。在其他情况下,可以使用防火墙或访问控制列表 (ACL) 来控制到达应用程序的流量。
随着DDoS攻击多年的发展,攻击类型和规模越来越多样化和复杂化,企业在选择防护DDoS措施时,一定要先分析攻击类型和规模,再选择合适的高防服务。攻与防的较量,道高一尺魔高一丈。
本文来自:https://www.zhuanqq.com/News/Industry/293.html