Учитывая постоянную зрелость технологии DDoS-атак сегодня, что вы знаете о мерах защиты от DDoS-атак? Только четко понимая определение и принципы DDoS-атак, а также того, с какими видами атак вы можете или столкнетесь, вы сможете лучше продолжать укреплять защиту и избегать атак и причинения убытков.
DDoS-атаки (распределенный отказ в обслуживании) - это распределенные DoS-атаки. Такие атаки обычно запускаются через бот-сети, которые распространяются по всему Интернету, поэтому такой тип атаки называется распределенной DoS-атакой. DDoS-атака - это особая форма DoS-атаки типа «отказ в обслуживании», которая представляет собой распределенную и скоординированную крупномасштабную атаку.
Самая простая DoS-атака заключается в использовании разумных сервисных запросов для занятия слишком большого количества сервисных ресурсов, так что сервер не может обрабатывать инструкции законных пользователей. DDoS - это использование большего количества марионеточных машин для запуска атак и атак жертв в большем масштабе, чем раньше.Поэтому предотвратить DDoS-атаки сложнее, чем защититься от одной DoS-атаки.
Полная система DDoS-атак состоит из четырех частей: злоумышленника, хозяина, агента и цели. Злоумышленник отправляет запрос атаки, затем главный терминал управления выдает команду, и, наконец, агент фактически отправляет пакет атаки DDoS. Эти пакеты данных замаскированы, и их источник не может быть идентифицирован, а услуги, запрашиваемые этими пакетами данных, будут потреблять большой объем системных ресурсов цели атаки, в результате чего целевой хост не сможет предоставлять услуги для обычных пользователей, и даже вызвать сбой системы.
DDoS-атаки можно классифицировать по семи аспектам: влияние, классификация характеристик атаки, скорость атаки, маршрут атаки, цель вторжения, слабость системы и протокола и степень автоматизации:
(1) С точки зрения влияния, это можно разделить на полную разбивку сетевых сервисов и атаки, уменьшающие количество сетевых сервисов.
(2) С точки зрения характеристик атаки, DDoS-атаки можно разделить на два типа: характеристики поведения атаки могут быть извлечены (которые можно подразделить на фильтруемые и не фильтруемые типы), а характеристики поведения атаки не могут быть извлечены.
(3) Скорость атаки можно разделить на атаки с постоянной и переменной скоростью.
(4) Классификация прямых атак и повторных атак на основе маршрутов атаки.
(5) В зависимости от целей вторжения DDoS-атаки можно разделить на атаки на пропускную способность и атаки на подключение.
(6) Исходя из классификации слабых мест системы и протоколов, их можно разделить на атаки флуд (атаки UDP-флуд и ICMP-флуд-атаки), атаки расширения (атаки Smurf и Fraggle), атаки с использованием протоколов (например, TCP SYN-атаки) и искаженные пакетные атаки (атака на IP-адрес и атака на атрибут IP-пакета).
(7) По степени автоматизации его можно разделить на три категории: ручные, полуавтоматические и автоматизированные DDoS-атаки.
Так называемое лечение после события всегда менее эффективно, чем профилактика. Чтобы гарантировать, что предприятия могут полностью отразить множество новых атак на трафик ddos, рекомендуется заранее принять меры противодействия атакам DDoS. Вот несколько традиционных мер противодействия DDoS:
(1) Сканируйте регулярно
Необходимо регулярно сканировать существующие главные узлы сети, проверять возможные уязвимости безопасности и своевременно устранять новые уязвимости.
(2) Проверьте источник посетителя
Используйте Unicast Reverse Path Forwarding, чтобы проверить, является ли IP-адрес посетителя истинным, с помощью запроса обратного маршрутизатора, и если он ложный, он будет заблокирован. Многие хакерские атаки часто используют поддельные IP-адреса, чтобы сбить с толку пользователей, и трудно выяснить, откуда они. Следовательно, использование одноадресной пересылки обратного пути может уменьшить появление поддельных IP-адресов и помочь повысить безопасность сети.
(3) Настройте межсетевой экран на магистральном узле.
Сам брандмауэр обладает определенной способностью предотвращать атаки DdoS и другие атаки. Когда атака обнаружена, она может быть направлена на жертвенные хосты, которые могут защитить реальный хост от нападения.
(4) Принять распределенную кластерную защиту
Распределенная защита кластера - самый эффективный способ защиты от крупномасштабных DDoS-атак в сообществе сетевой безопасности. Принцип защиты распределенного кластера состоит в том, чтобы иметь несколько узлов. Когда узел подвергается атаке и не может предоставлять услуги, система автоматически переключается на другой узел и возвращает все пакеты данных злоумышленника в точку отправки, что парализует источник атаки. перспектива защиты безопасности, чтобы повлиять на решения по обеспечению безопасности компании.
Выбор подходящих мер защиты от DDoS-атак является необходимой частью защиты безопасности веб-сайтов. Работа с DDoS - это систематический проект. Нереально полагаться на определенные системы или продукты для предотвращения DDoS-атак. Если позволяют условия, вы также можете рассмотреть возможность использования ускорения CDN.
Эта статья взята из: https://www.zhuanqq.com/News/Industry/285.html