伺服器被ddos攻擊 分析如何防止DDOS攻擊

2022-06-29 09:48:08 字數 2468 閱讀 1680

上週知名博主阮一峰的部落格被ddos攻擊,導致**無法訪問而被迫遷移伺服器的事情,引起了廣大網友的關注及憤慨,包括小編的個人部落格也曾接受過ddos的「洗禮」,對此感同身受。所以,本文我們一起來了解下ddos攻擊並分享一些在一定程度範圍內的應對方案。

分布式拒絕服務(ddos:distributed denial of service)攻擊指借助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動ddos攻擊,從而成倍地提高拒絕服務攻擊的威力。

通常,攻擊者將攻擊程式通過**程式安裝在網路上的各個「肉雞」上,**程式收到指令時就發動攻擊。

(ddos攻擊示意圖)

隨著網路技術發展,ddos攻擊也在不斷進化,攻擊成本越來越低,而攻擊力度卻成倍加大,使得ddos更加難以防範。比如反射型ddos攻擊就是相對高階的攻擊方式。攻擊者並不直接攻擊目標服務ip,而是通過偽造被攻擊者的ip向全球特殊的伺服器發請求報文,這些特殊的伺服器會將數倍於請求報文的資料報傳送到那個被攻擊的ip(目標服務ip)。

ddos攻擊讓人望而生畏,它可以直接導致**宕機、伺服器癱瘓,對**乃至企業造成嚴重損失。而且ddos很難防範,可以說目前沒有**之法,只能盡量提公升自身「抗壓能力」來緩解攻擊,比如購買高防服務。

分布式拒絕服務攻擊(ddos攻擊)是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。

常見的ddos攻擊包括以下幾類:

建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅:

縮小暴露面,隔離資源和不相關的業務,降低被攻擊的風險。

優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。

伺服器安全加固,提公升伺服器自身的連線數等效能。

做好業務監控和應急響應。

這裡我們分享一些在一定程度範圍內,能夠應對緩解ddos攻擊的策略方法,以供大家借鑑。

定期檢查伺服器軟體安全漏洞,是確保伺服器安全的最基本措施。無論是作業系統(windows或linux),還是**常用應用軟體(mysql、apache、nginx、ftp等),伺服器運維人員要特別關注這些軟體的最新漏洞動態,出現高危漏洞要及時打補丁修補。

其次,防止伺服器對外傳送資訊洩漏ip位址,最常見的情況是,伺服器不要使用傳送郵件功能,因為郵件頭會洩漏伺服器的ip位址。如果非要傳送郵件,可以通過第三方**(例如sendcloud)傳送,這樣對外顯示的ip是**的ip位址。

這也是伺服器運維人員最常用的做法。在伺服器防火牆中,只開啟使用的埠,比如**web服務的80埠、資料庫的3306埠、ssh服務的22埠等。關閉不必要的服務或埠,在路由器上過濾假ip。

使用者應在路由器上配置syn/icmp的最大流量來限制syn/icmp封包所能占有的最高頻寬,這樣,當出現大量的超過所限定的syn/icmp流量時,說明不是正常的網路訪問,而是有黑客入侵。早期通過限制syn/icmp流量是最好的防範dos的方法,雖然目前該方法對於ddos效果不太明顯了,不過仍然能夠起到一定的作用。

除了伺服器之外,**程式本身安全效能也需要提公升。以小編自己的個人部落格為例,使用cms做的。系統安全機制裡的過濾功能,通過限制單位時間內的post請求、404頁面等訪問操作,來過濾掉次數過多的異常行為。雖然這對ddos攻擊沒有明顯的改善效果,但也在一定程度上減輕小頻寬的惡意攻擊。

2.3 部署dns智慧型解析

通過智慧型解析的方式優化dns解析,可以有效避免dns流量攻擊產生的風險。同時,建議您將業務託管至多家dns服務商。

2.4 提供餘量頻寬

通過伺服器效能測試,評估正常業務環境下所能承受的頻寬和請求數。在購買頻寬時確保有一定的餘量頻寬,可以避免遭受攻擊時頻寬大於正常使用量而影響正常使用者的情況。

對伺服器上的作業系統、軟體服務進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:

4.1 關注基礎ddos防護監控

當您的業務遭受ddos攻擊時,基礎ddos缺省會通過簡訊和郵件方式發出告警資訊,針對大流量攻擊基礎ddos防護也支援**報警,建議您在接受到告警的第一時間進行應急處理。

5.1 web應用防火牆(waf)

針對**類應用,例如常見的http flood(cc攻擊)攻擊,可以使用waf可以提供針對連線層攻擊、會話層攻擊和應用層攻擊進行有效防禦。

5.2 ddos防護包

5.3 ddos高階防護

針對大流量ddos攻擊,建議使用阿里雲高防ip服務。

ddos攻擊是業內公認的行業公敵,ddos攻擊不僅影響被攻擊者,同時也會對服務商網路的穩定性造成影響,從而對處於同一網路下的其他使用者業務也會造成損失。

計算機網路是乙個共享環境,需要多方共同維護穩定,部分行為可能會給整體網路和其他租戶的網路帶來影響,需要您注意:

目前而言,ddos攻擊並沒有最好的**之法,做不到徹底防禦,只能採取各種手段在一定程度上減緩攻擊傷害。所以平時伺服器的運維工作還是要做好基本的保障,並借鑑本文分享的方案,將ddos攻擊帶來的損失盡量降低到最小。

伺服器被DDoS攻擊?如何緩解DDoS攻擊?

很多企業長期遭受ddos攻擊,尤其是棋牌類 金融業等企業。目前攻擊成本太低,造成很多企業要長期面對競爭對手或者其他組織個人的的ddos攻擊。想要改變這種局面,可以選擇購買 阿里雲ddos高防ip,但是 又太貴,那麼如何緩解ddos攻擊呢?他人發起ddos攻擊你,那是外因,我們改變不了。但是我們可以從...

高防伺服器如何防禦DDoS攻擊

要了解如何防禦就要先了解什麼是ddos攻擊 什麼是dos攻擊 dos攻擊 denial of service拒絕服務 所有能導致合法使用者無法訪問正常網路服務的行為,都是dos攻擊。dos攻擊的目的很明確,就是阻止合法使用者對正常網路資源的訪問,從而達到攻擊者不可告人的目的。什麼是ddos攻擊 di...

伺服器被攻擊分析

伺服器一直在裸奔,三年多來也一直沒有啥問題,直到最近發現訪問非常緩慢,一開始我們也沒有在意,因為所處的機房,近些日子線路問題不斷,以為是線路問題,直到被機房通知伺服器被攻擊了,由於已經影響到了其他機子,把我們限流了。突然間感覺就是兩眼發蒙,總結問題如下 機房遠在香港,無法立即到機房處理問題。機房也沒...