隨著如今DDoS攻擊技術的不斷成熟,關于防DDoS攻擊的安全防護措施你知道多少?只有清楚的了解DDoS攻擊的定義和原理和你有可能或者將會面臨什么樣的攻擊,才更好的不斷加強防護,才能夠免于受到攻擊從而導致受到損失。
DDoS(Distributed Denial of Service)攻擊,即分布式的DoS攻擊。這類攻擊通常都是通過僵尸網絡發起的,因僵尸網絡分布于互聯網各處,因此這類攻擊叫分布式DoS攻擊。DDoS攻擊是一種基于DoS的特殊形式的拒絕服務攻擊,是一種分布的、協同的大規模攻擊方式。
最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使服務器無法處理合法用戶的指令。DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者,因此防DDoS攻擊的難度要大于防御單一DoS攻擊。
一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。由攻擊者提出攻擊要求,然后主控端發布命令,最后由代理端實際發出DDoS的攻擊包。這些數據包經過偽裝,無法識別它的來源,而且這些數據包所請求的服務就會消耗攻擊目標大量的系統資源,造成目標主機無法為正常用戶提供服務,甚至導致系統崩潰。
DDoS攻擊可以從影響力、攻擊特征分類、攻擊速率、攻擊路線、入侵目標、系統及協議的弱點、自動化程度七個方面進行分類:
(1)從影響力方面可以分為網絡服務徹底崩潰和降低網絡服務的攻擊。
(2)從攻擊特征的角度可以將DDoS攻擊分為攻擊行為特征可提取(又可以細分為可過濾型和不可過濾型)和攻擊行為特征不可提取兩類。
(3)從攻擊速率來分類可以分為持續速率和可變速率的攻擊。
(4)基于攻擊路線分類直接攻擊和反復式攻擊。
(5)從基于入侵目標,可以將DDoS攻擊分為帶寬攻擊和連通性攻擊。
(6)從系統及協議的弱點分類主要可以分為洪水攻擊(UDP洪水攻擊和ICMP洪水攻擊)、擴大攻擊(Smurf和Fraggle攻擊)、利用協議的攻擊(如TCP SYN攻擊)和畸形數據包攻擊(IP地址攻擊和IP數據包屬性攻擊)。
(7)從自動化程度上來分類基本可分為手動的,半自動化的和自動化的DDoS攻擊等三類。
所謂事后補救總不及事前預防來得有效。為了確保企業能徹底解決多種多樣全新的ddos流量攻擊,建議提前采取防DDoS攻擊對策,以下例舉幾種常規的DDoS應付辦法:
(1)定期掃描
要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。
(2)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助于提高網絡安全性。
(3)在骨干節點配置防火墻
防火墻本身就有一定的防DdoS攻擊和其他一些攻擊得能力。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。
(4)采用分布式集群防御
分布式集群防御是目前網絡安全界防御大規模DDoS攻擊的最有效辦法。分布式集群防御的原理是擁有多個節點,當一個節點受攻擊無法提供服務,系統自動切換另一個節點,并將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
區塊鏈安全咨詢公司 曲速未來 表示:選用合適的防DDoS安全對策是網站安全防護中必要的一部分,對付DDoS是一個系統工程,想僅僅依靠某種系統或產品防住DDoS是不現實的,有條件的話還可以考慮使用cdn加速。
本文內容由 曲速未來 安全咨詢公司整理編譯,轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DApp開發安全、智能合約開發安全、網絡安全等相關安全類的業務咨詢服務。
