本文目录一览:
- 1、DDoS缓解怎么选择?
- 2、DDoS的原理及危害
- 3、哪里可以看ddos攻击,就是这个
- 4、常见的五大ddos防御认知误区,你了解多少?
- 5、服务器被ddos攻击了怎么办?
- 6、服务器被ddos攻击应该怎么办?
DDoS缓解怎么选择?
一旦开始严肃认真地考虑部署DDoS缓解方案,就需要更深入地研究解决方案的特性和类型。DDoS威胁最大限度地激发了解决方案提供商的创造力。当然有好有坏,好的一方面在于有良好的解决方案、技术和想法,糟糕的是有太多了,怎么选是个问题,每一种代表了不同的防护方法。最显著的一些方法包括:数据中心内部署设备、久经沙场的托管平台以及云端DDoS缓解服务。不管是哪种方式,在选择DDoS缓解解决方案时,都应该确保这个解决方案遵循以下的一些基本指导方针。
透明的缓解方案
用户无需知道你正在遭受攻击,可以随时没有延迟的访问网站,不会收到已经过时的缓存信息。解决方案需要能够可视化地保障我们的业务领域,而且有效。
承受流量网络DDoS攻击
网络(Layers 3 4) DDoS攻击的规模不断增加。这种类型的攻击,最大的超过了200 Gbps,而且仍在高速增长,一方面也是由于云基础架构的广泛采用导致的。放大攻击在攻击者之间很流行,主要在于其能够提供超大量的数据洪水打击目标,同时只需要相对非常少的源输出。我们需要的能够承受任意流量的的防护服务。服务提供商要实现这一点可能要构建20 Gb的数据中心,并提供分布式流量。应用厂商则需要堆叠和云化其设备。找出最佳的承受方式,而且要符合我们的成本效益。
识别复杂的应用DDoS攻击
应用层(Layer 7) DDoS攻击通常会模仿合法的用户流量,从而回避企业的常规安全检查。应用层攻击非常危险,因为他们无需超高流量就可以成功实现。至多每秒50到100个定向请求就可以让一个中型服务器挂掉。最重要的是,由于应用层DDoS依赖于类似人为的僵尸网络而且是实际的浏览器,通常更难以减缓,甚至难以被检测到。为了缓解Layer 7攻击,我们需要的解决方案能够智能的描述传入流量,并且区分出人为活动和僵尸网络的活动。
识别正常人为访问
缓解应用DDoS攻击的关键挑战之一是最小化误报和最小化业务中断。网站合法访客应该不会被中断正常的访问。如果被误判为机器人怎么办?合法的用户应该有机会通过输入验证码来证明他们是人。因而缓解方案应该能够确保符合用户体验。
保护用户体验
就算在DDoS攻击防护的泥潭中挣扎,不加区别地黑洞掉所有的僵尸网络流量也会严重影响业务。高效的DDoS防护应该能够以精确超找识别为核心,允许合法的机器继续访问网站或者业务。
持续防护
经济全球化下,在线业务也应用不宕机,这也意味着DDoS防护占率也要能够满足24x365的监护。这需要一定的人力支持,但实际上通常很难交付很好的稳定性。如果能够有自动化的防护方案则为最佳,减少人为造成的风险。
监控应用和网络流量
监控应用和网络流量,提供IT安全管理者稳定的可视化DDoS攻击态势呈现。安全管理者能够回顾流量、应用性能、反常行为、协议违规等等。实时的流量监控应该是数据驱动的,能够响应DDoS威胁。
DDoS的原理及危害
DDoS:拒绝服务攻击的目标大多采用包括以SYNFlood和PingFlood为主的技术,其主要方式是通过使关键系统资源过载,如目标网站的通信端口与记忆缓冲区溢出,导致网络或服务器的资源被大量占用,甚至造成网络或服务器的全面瘫痪,而达到阻止合法信息上链接服务要求的接收。形象的解释是,DDoS攻击就好比电话点歌的时候,从各个角落在同一时间有大量的电话挂入点播台,而点播台的服务能力有限,这时出现的现象就是打电话的人只能听到电话忙音,意味着点播台无法为听众提供服务。这种类型的袭击日趋增多,因为实施这种攻击的方法与程序源代码现已在黑客网站上公开。另外,这种袭击方法非常难以追查,因为他们运用了诸如IP地址欺骗法之类所谓网上的“隐身技术”,而且现在互联网服务供应商(ISP)的过剩,也使作恶者很容易得到IP地址。拒绝服务攻击的一个最具代表性的攻击方式是分布式拒绝服务攻击(DistributedDenialofService,DDoS),它是一种令众多的互联网服务提供商和各国政府非常头疼的黑客攻击方法,最早出现于1999年夏天,当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始,这种攻击方法开始大行其道,在2月7日到11日的短短几天内,黑客连续攻击了包括Yahoo,Buy.com,eBay,Amazon,CNN等许多知名网站,致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击,这次的攻击浪潮在媒体上造成了巨大的影响,以至于美国总统都不得不亲自过问。
分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还不能做到完全防止。
DDoS通常采用一种跳台式三层结构。如图10—7所示:图10—7最下层是攻击的执行者。这一层由许多网络主机构成,其中包括Unix,Linux,Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限,并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址,其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。
这些服务器与攻击执行器一样,安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机,甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。
有许多无关主机可以支配是整个攻击的前提。当然,这些主机与目标主机之间的联系越紧密,网络带宽越宽,攻击效果越好。通常来说,至少要有数百台甚至上千台主机才能达到满意的效果。例如,据估计,攻击Yahoo!站点的主机数目达到了3000台以上,而网络攻击数据流量达到了1GB秒。通常来说,攻击者是通过常规方法,例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新,从而将系统暴露在攻击者面前。在成功侵入后,攻击者照例要安装一些特殊的后门程序,以便自己以后可以轻易进入系统,随着越来越多的主机被侵入,攻击者也就有了更大的舞台。他们可以通过网络监听等方法进一步扩充被侵入的主机群。
黑客所作的第二步是在所侵入的主机上安装攻击软件。这里,攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分,一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪,同时也能够更好的协调进攻。因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序,它们可以连续向目标发出大量的链接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00,TFN(TribeFloodNetwork)、randomizer以及它们的一些改进版本,如TFN2k等。
黑客所作的最后一步,就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽,难以定位。一旦攻击的命令传送到服务器,主控台就可以关闭或脱离网络,以逃避追踪。接着,攻击服务器将命令发布到各个攻击器。在攻击器接到攻击命令后,就开始向目标主机发出大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源。而且,这些数据包所请求的服务往往要消耗较大的系统资源,如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。这样,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正常链接请求,从而无法有效分离出攻击数据包。
除了上述类型的攻击以外,其他种类的拒绝服务袭击有,从电脑中删除启动文件,使之无法启动,或删除某个网络服务器的网页等。为什么有人要发起这种类型的袭击呢?因为他们所闯入的服务器并没有什么秘密数据。其实,这种袭击也是出于各种原因,有政治的,不正当商业竞争为原因的、也有的是作为一种大规模袭击的一个组成部分。比如,巴勒斯坦的黑客为了抗议以色列的犹太人政权而发起的对以色列政府网站的攻击;某恶意电子商务网站为争夺客户而发起的针对竞争对手的拒绝服务攻击。拒绝服务袭击也可以用来关闭某位黑客想要欺诈的服务器。比如,黑客可能会为了获得客户PIN码或信用卡号码而对一家银行的服务器进行攻击等,这类袭击是“比其他类型的袭击要突出得多的、最普遍的安全隐患”。当然,这种袭击的主要损失是系统不能正常运行而耽误的时间,而且系统很容易就可以通过重新启动的方式而恢复运行。然而,任何注重品牌声誉的企业都明白,在互联网世界中,品牌声誉可能会因一次安全性攻击而毁于一旦,因此,黑客攻击行为(尤其是拒绝服务攻击)已成为当今企业所面临的最大威胁中的一部分。
一个企业的网上服务即使没有遭到拒绝服务的攻击,它还会面临另外一种风险,即成为攻击者的跳台的危险。在实际发生的大规模拒绝服务攻击的案例当中,往往是那些网络安全管理不严格的企业或组织的系统,被黑客侵入,在系统内被植入攻击时使用的黑客程序。而攻击犯罪发生以后,由于黑客的消踪灭迹的手段很高明,所以最后被侦破机关追索到的攻击源往往是那些成为攻击跳台的网络。虽然,企业本身没有遭到损失,但是由于成为攻击跳台,而带来的合作伙伴的疑虑和商业信用的损失却是无法估计的。
哪里可以看ddos攻击,就是这个
要看这个图,你去看云盾,每秒全球的数据都在,也比较真实,这就是DDOS全球动态云盾
常见的五大ddos防御认知误区,你了解多少?
一、ddos防御的规模很大
很多 IT 安全团队可能会认为他们的企业没有经历过 DDoS,但实际上,他们只是没有经历过足以压倒他们的网路带宽的大规模攻击。实际上,DDoS 相关统计研究表明,超过 80% 的 DDoS 攻击都在 1Gbps 以下,如果企业没有通过正确的方式查看问题,这很容易被忽视。这些较小的 DDoS 攻击可能与最高容量的攻击一样麻烦,因为它们可能影响有状态的基础设施设备,包括路由器和防火墙,或消耗服务器资源,这会影响最终用户的整体体验。并且它会们消耗 IT 安全人员进行故障排除的时间,同时它们还可能用于为更复杂的网络犯罪活动(例如入侵盗取资料等)作掩护。
二、DDoS 攻击发起的频率正在下降
尽管近年来,我们没有看到引人注目的攻击强度超过 1000Gbps 的超大型 DDoS 攻击,但低阈值、亚饱和攻击的频率正在增加。根据 DDoS 相关研究,与 2017 年相比,2018 年 DDoS 攻击的发起数量实际上增加 40%以上,特别是以香港、中国大陆为主的东亚地区,遭受到比以往任何时候更多的 DDoS 攻击。
三、我的网站 / 企业太微不足道,不会吸引 DDoS 攻击
实际上,DDoS 攻击的目标已不限于该企业是否知名或者规模大不大。DDoS 攻击目前正在针对许多不同类型的企业和网站应用。DDoS 攻击可以由您的竞争对手策略性地发起,例如当您的网站进行促销活动时,被 DDoS 攻击的风险和潜在危害将尤为突出。还有很多 DDoS 攻击的发起,由遍布全球的黑客随机发起,甚至可以用作勒索活动的一部分。令人担忧的是,ddos防御的最新研究显示,互联网上存在完全不分青红皂白就发起攻击的新趋势。
四、云保护服务就足够了
基于云的 ddos防御身反应缓慢。无论是通过手动通知还是远程监控,根据您愿意支付的费用,一旦攻击开始,通过云服务重新路由您的流量仍需要时间。在此期间,您仍然受到 DDoS 攻击流量的攻击。通常,在激活保护时,大部分损坏已经完成。
此外,如果您经常将流量转移到云服务以缓解任何可疑的攻击,您可能会为此付出高昂的代价,除月费之外,根据流量和持续时间,通常会收取每次事件的费用。或者,使用混合解决方案(基于云和本地保护的组合),例如采用恒创科技香港高防服务器,可以显着减少切换到基于云的缓解所需的次数。其高防服务器,不仅可以降低成本并节省与这些切换相关的时间,而且还为企业提供了 “永远在线” 保护,可以在可能产生影响之前阻止所有攻击,无论其大小如何。
五、企业可以自己建立 ddos防御
不幸的是,现代 ddos防御过于复杂,绝大多数企业无法通过自行开发的解决方案进行检测和准确阻止。攻击发起者现在使用自动化的多向量攻击,并且每隔几秒或几分钟就会发生变化。恒创科技经常监控到在仅十到二十分钟的时间内使用多达八个不同的向量来攻击 DDoS 防御的事件。攻击也更典型地是低阈值和低饱和,本地和传统的 ddos防御难以区分常规流量。绝大多数企业最终仍然会被攻击,或者暂停自身业务的正常运作来应对攻击。此外,以这种方式对抗 DDoS 攻击的过程占据了许多有价值的安全分析师资源。
服务器被ddos攻击了怎么办?
1.减少公开暴露
对于企业来说,减少公开暴露是防御 DDoS 攻击的有效方式,对 PSN 网络设置安全群组和私有网络,及时关闭不必要的服务等方式,能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问,限制同时打开的 SYN 最大连接数,限制特定 IP 地址的访问,启用防火墙的防 DDoS 的属性等。
2.利用扩展和冗余
DDoS 攻击针对不同协议层有不同的攻击方式,因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然,保证系统具有一定的弹性和可扩展性,确保在 DDoS 攻击期间可以按需使用,尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。
微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡,Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量,避免流量过度集中,还能做到按需缓存,使系统不易遭受 DDoS 攻击。
3.充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有 10M 带宽的话,无论采取什么措施都很难对抗当今的 SYNFlood 攻击,至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的,若把它接在 100M 的交换机上,它的实际带宽不会超过 100M,再就是接在 100M 的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为 10M,这点一定要搞清楚。
4.分布式服务拒绝 DDoS 攻击
所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上,而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化,克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷,分布式数据中心规模越大,越有可能分散 DDoS 攻击的流量,防御攻击也更加容易。
5.实时监控系统性能
除了以上这些措施,对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易受 DDoS 攻击,系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能,监控网络节点,清查可能存在的安全隐患,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机加强监控是非常重要的。
当然最好的办法还是选择使用香港的高防服务器。
服务器被ddos攻击应该怎么办?
ddoS的攻击方式有很多种,最基本的ddoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的ddoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机(肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
当受到DDoS攻击时,可以选择用一些防火墙来进行防御,或者选择机房进行流量迁移和清洗,这种两种方法对于小流量攻击的确有效,而且价格也便宜。但是当攻击者使用大流量DDoS攻击时,这两种方法就完全防御不住了,这种情况就必须考虑更换更高防护的高防服务器了,高防的优势还是很明显的,配置简单,接入方便见效快,对于大流量攻击也完全不在话下。