隨著如今DDoS攻擊技術(shù)的不斷成熟,關(guān)于防DDoS攻擊的安全防護(hù)措施你知道多少?只有清楚的了解DDoS攻擊的定義和原理和你有可能或者將會(huì)面臨什么樣的攻擊,才更好的不斷加強(qiáng)防護(hù),才能夠免于受到攻擊從而導(dǎo)致受到損失。
DDoS(Distributed Denial of Service)攻擊,即分布式的DoS攻擊。這類(lèi)攻擊通常都是通過(guò)僵尸網(wǎng)絡(luò)發(fā)起的,因僵尸網(wǎng)絡(luò)分布于互聯(lián)網(wǎng)各處,因此這類(lèi)攻擊叫分布式DoS攻擊。DDoS攻擊是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布的、協(xié)同的大規(guī)模攻擊方式。
最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使服務(wù)器無(wú)法處理合法用戶(hù)的指令。DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻,以比從前更大的規(guī)模來(lái)進(jìn)攻受害者,因此防DDoS攻擊的難度要大于防御單一DoS攻擊。
一個(gè)完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標(biāo)四部分組成。由攻擊者提出攻擊要求,然后主控端發(fā)布命令,最后由代理端實(shí)際發(fā)出DDoS的攻擊包。這些數(shù)據(jù)包經(jīng)過(guò)偽裝,無(wú)法識(shí)別它的來(lái)源,而且這些數(shù)據(jù)包所請(qǐng)求的服務(wù)就會(huì)消耗攻擊目標(biāo)大量的系統(tǒng)資源,造成目標(biāo)主機(jī)無(wú)法為正常用戶(hù)提供服務(wù),甚至導(dǎo)致系統(tǒng)崩潰。
DDoS攻擊可以從影響力、攻擊特征分類(lèi)、攻擊速率、攻擊路線(xiàn)、入侵目標(biāo)、系統(tǒng)及協(xié)議的弱點(diǎn)、自動(dòng)化程度七個(gè)方面進(jìn)行分類(lèi):
(1)從影響力方面可以分為網(wǎng)絡(luò)服務(wù)徹底崩潰和降低網(wǎng)絡(luò)服務(wù)的攻擊。
(2)從攻擊特征的角度可以將DDoS攻擊分為攻擊行為特征可提取(又可以細(xì)分為可過(guò)濾型和不可過(guò)濾型)和攻擊行為特征不可提取兩類(lèi)。
(3)從攻擊速率來(lái)分類(lèi)可以分為持續(xù)速率和可變速率的攻擊。
(4)基于攻擊路線(xiàn)分類(lèi)直接攻擊和反復(fù)式攻擊。
(5)從基于入侵目標(biāo),可以將DDoS攻擊分為帶寬攻擊和連通性攻擊。
(6)從系統(tǒng)及協(xié)議的弱點(diǎn)分類(lèi)主要可以分為洪水攻擊(UDP洪水攻擊和ICMP洪水攻擊)、擴(kuò)大攻擊(Smurf和Fraggle攻擊)、利用協(xié)議的攻擊(如TCP SYN攻擊)和畸形數(shù)據(jù)包攻擊(IP地址攻擊和IP數(shù)據(jù)包屬性攻擊)。
(7)從自動(dòng)化程度上來(lái)分類(lèi)基本可分為手動(dòng)的,半自動(dòng)化的和自動(dòng)化的DDoS攻擊等三類(lèi)。
所謂事后補(bǔ)救總不及事前預(yù)防來(lái)得有效。為了確保企業(yè)能徹底解決多種多樣全新的ddos流量攻擊,建議提前采取防DDoS攻擊對(duì)策,以下例舉幾種常規(guī)的DDoS應(yīng)付辦法:
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。
(2)檢查訪(fǎng)問(wèn)者的來(lái)源
使用Unicast Reverse Path Forwarding等通過(guò)反向路由器查詢(xún)的方法檢查訪(fǎng)問(wèn)者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假I(mǎi)P地址方式迷惑用戶(hù),很難查出它來(lái)自何處。因此,利用Unicast Reverse Path Forwarding可減少假I(mǎi)P地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。
(3)在骨干節(jié)點(diǎn)配置防火墻
防火墻本身就有一定的防DdoS攻擊和其他一些攻擊得能力。在發(fā)現(xiàn)受到攻擊的時(shí)候,可以將攻擊導(dǎo)向一些犧牲主機(jī),這樣可以保護(hù)真正的主機(jī)不被攻擊。
(4)采用分布式集群防御
分布式集群防御是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的原理是擁有多個(gè)節(jié)點(diǎn),當(dāng)一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù),系統(tǒng)自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
區(qū)塊鏈安全咨詢(xún)公司 曲速未來(lái) 表示:選用合適的防DDoS安全對(duì)策是網(wǎng)站安全防護(hù)中必要的一部分,對(duì)付DDoS是一個(gè)系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDoS是不現(xiàn)實(shí)的,有條件的話(huà)還可以考慮使用cdn加速。
本文內(nèi)容由 曲速未來(lái) 安全咨詢(xún)公司整理編譯,轉(zhuǎn)載請(qǐng)注明。 曲速未來(lái)提供包括主鏈安全、交易所安全、交易所錢(qián)包安全、DApp開(kāi)發(fā)安全、智能合約開(kāi)發(fā)安全、網(wǎng)絡(luò)安全等相關(guān)安全類(lèi)的業(yè)務(wù)咨詢(xún)服務(wù)。
