隨著如今DDoS攻擊技術(shù)的不斷成熟,關(guān)于防DDoS攻擊的安全防護(hù)措施你知道多少?只有清楚的了解DDoS攻擊的定義和原理和你有可能或者將會面臨什么樣的攻擊,才更好的不斷加強(qiáng)防護(hù),才能夠免于受到攻擊從而導(dǎo)致受到損失。
DDoS(Distributed Denial of Service)攻擊,即分布式的DoS攻擊。這類攻擊通常都是通過僵尸網(wǎng)絡(luò)發(fā)起的,因僵尸網(wǎng)絡(luò)分布于互聯(lián)網(wǎng)各處,因此這類攻擊叫分布式DoS攻擊。DDoS攻擊是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布的、協(xié)同的大規(guī)模攻擊方式。
最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令。DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻,以比從前更大的規(guī)模來進(jìn)攻受害者,因此防DDoS攻擊的難度要大于防御單一DoS攻擊。
一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。由攻擊者提出攻擊要求,然后主控端發(fā)布命令,最后由代理端實(shí)際發(fā)出DDoS的攻擊包。這些數(shù)據(jù)包經(jīng)過偽裝,無法識別它的來源,而且這些數(shù)據(jù)包所請求的服務(wù)就會消耗攻擊目標(biāo)大量的系統(tǒng)資源,造成目標(biāo)主機(jī)無法為正常用戶提供服務(wù),甚至導(dǎo)致系統(tǒng)崩潰。
DDoS攻擊可以從影響力、攻擊特征分類、攻擊速率、攻擊路線、入侵目標(biāo)、系統(tǒng)及協(xié)議的弱點(diǎn)、自動化程度七個方面進(jìn)行分類:
(1)從影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。
(2)從攻擊特征的角度可以將DDoS攻擊分為攻擊行為特征可提取(又可以細(xì)分為可過濾型和不可過濾型)和攻擊行為特征不可提取兩類。
(3)從攻擊速率來分類可以分為持續(xù)速率和可變速率的攻擊。
(4)基于攻擊路線分類直接攻擊和反復(fù)式攻擊。
(5)從基于入侵目標(biāo),可以將DDoS攻擊分為帶寬攻擊和連通性攻擊。
(6)從系統(tǒng)及協(xié)議的弱點(diǎn)分類主要可以分為洪水攻擊(UDP洪水攻擊和ICMP洪水攻擊)、擴(kuò)大攻擊(Smurf和Fraggle攻擊)、利用協(xié)議的攻擊(如TCP SYN攻擊)和畸形數(shù)據(jù)包攻擊(IP地址攻擊和IP數(shù)據(jù)包屬性攻擊)。
(7)從自動化程度上來分類基本可分為手動的,半自動化的和自動化的DDoS攻擊等三類。
所謂事后補(bǔ)救總不及事前預(yù)防來得有效。為了確保企業(yè)能徹底解決多種多樣全新的ddos流量攻擊,建議提前采取防DDoS攻擊對策,以下例舉幾種常規(guī)的DDoS應(yīng)付辦法:
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進(jìn)行清理。
(2)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。
(3)在骨干節(jié)點(diǎn)配置防火墻
防火墻本身就有一定的防DdoS攻擊和其他一些攻擊得能力。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導(dǎo)向一些犧牲主機(jī),這樣可以保護(hù)真正的主機(jī)不被攻擊。
(4)采用分布式集群防御
分布式集群防御是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的原理是擁有多個節(jié)點(diǎn),當(dāng)一個節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)自動切換另一個節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
區(qū)塊鏈安全咨詢公司 曲速未來 表示:選用合適的防DDoS安全對策是網(wǎng)站安全防護(hù)中必要的一部分,對付DDoS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDoS是不現(xiàn)實(shí)的,有條件的話還可以考慮使用cdn加速。
本文內(nèi)容由 曲速未來 安全咨詢公司整理編譯,轉(zhuǎn)載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DApp開發(fā)安全、智能合約開發(fā)安全、網(wǎng)絡(luò)安全等相關(guān)安全類的業(yè)務(wù)咨詢服務(wù)。
