近日,美国最主要DNS服务商Dyn遭大规模DDoS攻击。各大美国热门网站都出现了无法访问的情况,Twitter、Netflix、Airbnb、Visa、CNN、华尔街日报等上百家网站无法访问、登录。大规模DDoS攻击导致Dyn公司无法将域名解析为正确的IP地址,导致访问错误。从行为特征分析,判断这是一次有组织有预谋的网络攻击,但攻击行为来自超过一千万个IP来源。DDOS的全称是Distributed Denial Of Service (Attack),翻译过来叫分布式拒绝访问攻击。这就是这次网络攻击的特点:攻击的是用来指路的DNS域名解析系统。
DDoS攻击完全可以被当作“大规模网络攻击”的代名词。而且在某些特殊的攻击场景中,攻击流量可以达到每秒钟好几百Gbits,但是这种情况相对来说比较罕见。在大多数情况下,攻击者可以用每秒钟1Gbit(或者更少)的流量来对企业或组织的网络系统发动洪泛攻击。而且这些攻击的持续时间一般不会太长,大多数DDoS攻击只会持续三十分钟左右。攻击者可以通过DDoS攻击来拖垮目标网络系统,而且往往会使整个网络系统中所有的服务器全部下线。不仅如此,我们通常很难追踪到攻击者,而且这种攻击也没有什么很明显的前兆,这也就使得企业和组织很难去检测和防御DDoS攻击。
通常情况下,当攻击流量通过不断转发最终到达带外DDoS攻击缓解服务时,网站服务器都已经下线超过三十分钟了,而此时攻击所造成的损失已经无法挽回了。现在随着时间的推移和技术的发展,DDoS不仅变得越来越复杂了,而且攻击所造成的直接经济损失也在不断增加。为了应对这一日益严峻的安全趋势,我们就需要设计出一种高效的解决方案。当攻击发生时,能够自动消除恶意流量给网络系统所带来的影响,并且能够允许管理员实时观测到网络系统的运行情况。
为了对抗 DDoS(分布式拒绝服务)攻击,你需要对攻击时发生了什么有一个清楚的理解. 简单来讲,DDoS 攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。DDoS 攻击主要要两大类: 带宽耗尽攻击和资源耗尽攻击. 为了有效遏制这两种类型的攻击,你可以按照下面列出的步骤来做:
1、如果只有几台计算机是攻击的来源,并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份 ACL(访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间,但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的 IP,那这一措施及不再有效了。
2、如果你确定攻击来自一个特定的国家,可以考虑将来自那个国家的 IP 阻断,至少要阻断一段时间.
3、监控进入的网络流量。通过这种方式可以知道谁在访问你的网络,可以监控到异常的访问者,可以在事后分析日志和来源IP。在进行大规模的攻击之前,攻击者可能会使用少量的攻击来测试你网络的健壮性。
4、对付带宽消耗型的攻击来说,最有效(也很昂贵)的解决方案是购买更多的带宽。
5、也可以使用高性能的负载均衡软件,使用多台服务器,并部署在不同的数据中心。
6、对web和其他资源使用负载均衡的同时,也使用相同的策略来保护DNS。
7、优化资源使用提高 web server 的负载能力。例如,使用 apache 可以安装 apachebooster 插件,该插件与 varnish 和 nginx 集成,可以应对突增的流量和内存占用。
8、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案,它可以提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。
9、启用路由器或防火墙的反IP欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中启用该功能只要点击“配置”中的“防火墙”,找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL(access control list)来防止 IP 欺骗,先针对内网创建 ACL,然后应用到互联网的接口上。
10、使用第三方的服务来保护你的网站。有不少公司有这样的服务,提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。
11、注意服务器的安全配置,避免资源耗尽型的 DDOS 攻击。
12、听从专家的意见,针对攻击事先做好应对的应急方案。
13、监控网络和 web 的流量。如果有可能可以配置多个分析工具,例如:Statcounter 和 Google analytics,这样可以更直观了解到流量变化的模式,从中获取更多的信息。
14、保护好 DNS 避免 DNS 放大攻击。
15、在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略:流控,包过滤,半连接超时,垃圾包丢弃,来源伪造的数据包丢弃,SYN 阀值,禁用 ICMP 和 UDP 广播。
最后多了解一些 DDOS 攻击的类型和手段,并针对每一种攻击制定应急方案。
天下数据(www.idcbest.hk)成立十余年以来,是中国领先的海外互联网解决方案服务商,主要以海外互联网基础服务、海外IDC资源服务为主导。拥有海外各大运营商机房资源。服务项目包括海外基础网络运营及解决方案、数据中心管理、VPS、云计算、服务器租用、服务器托管、容分发网络、网络营销服务及外贸企业电子商务增值服务,以帮助客户轻松、高速、高效的应用互联网,提高企业竞争能力。
|
1对1专业客服
24小时服务支持
365天无间断服务
5分钟快速响应
天下数据06
公有云代理云打折
(蓝/磁光)存储咨询
