提到 ddos 攻擊,很多人不會陌生。上週,美國當地時間 12 月 29 日,專用虛擬伺服器提供商 linode 遭到 ddos 攻擊,直接影響其 web 伺服器的訪問,其中 api 呼叫和管理功能受到嚴重影響,在被攻擊的一周之內仍有部分功能不可用,嚴重影響其業務和成千上萬使用 linode 服務的使用者。
什麼是 ddos 攻擊?
ddos,即分布式拒絕服務(distributed denial of service)攻擊,指借助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動攻擊,從而成倍地提高拒絕服務攻擊的威力。
ddos 的攻擊方式有很多種,最基本的 ddos 攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法使用者無法得到服務的響應。單一的 dos 攻擊一般是採用一對一方式,當攻擊目標 cpu 速度低、記憶體小或者網路頻寬小等各項指標值不高時,它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,記憶體大大增加,同時也出現了千兆級別的網路,這使得 dos 攻擊的困難程度加大了——目標對惡意攻擊包的消化能力加強了不少。這時候分布式的拒絕服務攻擊手段(ddos)就應運而生。ddos 就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
據統計,2015 年針對企業的 ddos 攻擊持續增長,根據 akamai 的調查報告,2015 年 ddos 攻擊增長了史無前例的 180% !對於本次事件的 linode 來說,早在 2013 年,linode 就曾受到過大規模的 ddos 攻擊。面對 ddos 這樣的週期性挑釁,我們應該找出被攻擊的原因,建立有效的防禦體系來抵禦攻擊。
防止 ddos 攻擊的方式
1.減少公開暴露
之前**的的 booter **或者是臭名昭著的 lizardsquad 旗下站 lizardstresser,都提供付費 ddos 攻擊某一目標的服務,而且這些**都會將攻擊偽裝成合法的載入測試來進行攻擊。這個黑客組織在 2014 年的聖誕節期間利用 ddos 攻擊了微軟的 xbox live 和索尼的 psn 網路,令許多玩家很長時間無法正常娛樂。
對於企業來說,減少公開暴露是防禦 ddos 攻擊的有效方式,對 psn 網路設定安全群組和私有網路,及時關閉不必要的服務等方式,能夠有效防禦網路黑客對於系統的窺探和入侵。具體措施包括禁止對主機的非開放服務的訪問,限制同時開啟的 syn 最大連線數,限制特定 ip 位址的訪問,啟用防火牆的防 ddos 的屬性等。
2.利用擴充套件和冗餘
ddos 攻擊針對不同協議層有不同的攻擊方式,因此我們必須採取多重防護措施。利用擴充套件和冗餘可以防患於未然,保證系統具有一定的彈性和可擴充套件性,確保在 ddos 攻擊期間可以按需使用,尤其是系統在多個地理區域同時執行的情況下。任何執行在雲中的虛擬機器例項都需要保證網路資源可用。
微軟針對所有的 azure 提供了網域名稱系統(dns)和網路負載均衡,rackspace 提供了控制流量流的專屬雲負載均衡。結合 cdn 系統通過多個節點分散流量,避免流量過度集中,還能做到按需快取,使系統不易遭受 ddos 攻擊。
3.充足的網路頻寬保證
網路頻寬直接決定了能抗受攻擊的能力,假若僅僅有 10m 頻寬的話,無論採取什麼措施都很難對抗當今的 synflood 攻擊,至少要選擇 100m 的共享頻寬,最好的當然是掛在1000m 的主幹上了。但需要注意的是,主機上的網絡卡是 1000m 的並不意味著它的網路頻寬就是千兆的,若把它接在 100m 的交換機上,它的實際頻寬不會超過 100m,再就是接在 100m 的頻寬上也不等於就有了百兆的頻寬,因為網路服務商很可能會在交換機上限制實際頻寬為 10m,這點一定要搞清楚。
4.分布式服務拒絕 ddos 攻擊
所謂分布式資源共享伺服器就是指資料和程式可以不位於乙個伺服器上,而是分散到多個伺服器。分布式有利於任務在整個計算機系統上進行分配與優化,克服了傳統集中式系統會導致中心主機資源緊張與響應瓶頸的缺陷,分布式資料中心規模越大,越有可能分散 ddos 攻擊的流量,防禦攻擊也更加容易。
5.實時監控系統效能
除了以上這些措施,對於系統效能的實時監控也是預防 ddos 攻擊的重要方式。不合理的 dns 伺服器配置也會導致系統易受 ddos 攻擊,系統監控能夠實時監控系統可用性、api、cdn 以及 dns 等第三方服務商效能,監控網路節點,清查可能存在的安全隱患,對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的頻寬,是黑客利用的最佳位置,因此對這些主機加強監控是非常重要的。
另外,通過縮短 syn 半連線的 time out 時間也能有效防止 ddos 攻擊,系統監控能夠通過自主設定的 time out 閾值傳送報警,對系統情況進行整體的把控。
本文** oneapm 官方部落格
apache防止ddos攻擊的幾個有用工具
一 來自的ddos指令碼。這套指令碼的開發初衷就是為了防止ddos攻擊,它週期性執行 比如每隔一秒 每次執行時使用netstat命令記錄下當前的網路連線情況,從記錄的資料中篩選出客戶機的ip並統計出每個客戶ip的連線數,將連線數與設定的閾值相比,如果乙個ip有過多的連線,它將被放入黑名單。放入黑名單...
如何防止DDos攻擊的一些個人經驗
ddos distributed denial of service 即分布式拒絕服務。ddos攻擊是指攻擊者通過控制大量的殭屍主機,向被攻擊目標傳送大量精心構造的攻擊報文,造成被攻擊者所在網路的鏈路擁塞 系統資源耗盡,從而使被攻擊者產生拒絕向正常使用者的請求提供服務的效果。可能不少朋友的公司都遭遇...
防火牆防止DDOS分布式拒絕服務攻擊的幾種方式
dos denial of service拒絕服務 和ddos distributed denial of service分布式拒絕服務 攻擊是大型 和網路伺服器的安全威脅之一。2000年2月,yahoo 亞馬遜 n被攻擊等事例,曾被刻在重大安全事件的歷史中。syn flood由於其攻擊效果好,已經...