DDoS攻击非常受黑客欢迎,因为它们非常有效,易于启动,并且几乎不会留下痕迹。那么如何防护DDoS攻击呢?在本文中,我们将讨论如何检测DDoS攻击,并将介绍一些特定的DDoS保护和预防技术。
DDOS全名是 Distributed Denial of service ( 分布式拒绝服务攻击 ), 很多 DOS 攻击源一起攻击某台服务器就组成了 DDOS 攻击 ,DDOS最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。
DDoS攻击因成本低廉、攻击范围广、简单高效已成为黑客热衷和惯用的攻击方法。随着互联网的发展,各行各业对于网络的依赖程度日益加深,但是出于商业竞争、打击报复和网络敲诈等多种因素,导致互联网线上业务很容易遭受DDoS攻击,严重的甚至影响企业持续经营。因此,防护DDOS攻击成为网络服务商必须考虑的头等大事。
虽然不可能完全阻止DDoS攻击的发生,但有一些有效的做法可以帮助你检测和停止正在进行的DDoS攻击。
(1)异常检测:使用统计模型和机器学习算法分析网络流量并将流量模式分类为正常或DDoS攻击。你还可以搜索其他网络性能因素中的异常,例如设备CPU利用率或带宽使用情况。
(2)基于知识的方法:使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法,你可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。可以根据特定的规则、签名和模式配置web应用程序防火墙来阻止可疑的传入流量。
(3)入侵防御和检测系统警报:入侵防御系统(IPS)和入侵检测系统(IDS)提供了额外的流量可见性。尽管误报率很高,但是IPS和IDS警报可以作为异常和潜在恶意流量的早期指示。
在早期阶段检测正在进行的攻击可以帮助你减轻其后果。但是,你可以采取适当的预防措施来防护DDoS攻击,使攻击者更难淹没或破坏你的网络:
(1)通过优化WINDOWS注册表及 LINUX 内核,可有效防止 1 万左右的 SYN 攻击数据包,不过目前攻击通常都是上百万的数据包,所以这种方案针对于目前的DDOS攻击,基本无效。
(2)给受攻击的服务器安装软件防火墙,可防止100M-1000M以内的SYN攻击。
(3)采用分布式集群防护,将受攻击服务器接入安装有硬件防火墙的IDC网络(一般在2G-20G集群防护),自主建立多个高防IDC数据中心组成,每个数据中心搭建硬件防火墙集群,提升防护DDoS能力。
(4)在搭建有高防护防火墙集群的IDC基础上,搭建高防智能 DNS ,通过智能 DNS ,针对不同地区、不同运营商线路设置访问,针对不同的网络应用服务设置监测端口,当遭受攻击使一个节点不能提供服务后会根据优先级设置自动切换到另一个节点,这样只要有一个节点能正常提供服务就能让用户正常访问,最重要的是让网络攻击者也无法检测到真实服务器IP,保护源站IP稳定不受攻击影响。
有效的DDoS攻击保护技术和方法可用于增强基础设施防护DDoS攻击能力并减轻其后果。虽然不可能完全消除DDOS攻击,但可以通过更高端,更先进的技术手段去减少损失。
本文来自:https://www.zhuanqq.com/News/Industry/291.html