如何应对DDoS攻击？
时间:2018-05-22 作者:xnit 点击: 次

在分享防御知识之前，小诺给亲们举个例子，形象的比喻一下DDoS攻击，帮助亲们回顾一下。

 

小诺开了一家有五十个座位的重庆火锅店（或许亲喜欢火锅吗？），由于用料上等，童叟无欺。平时门庭若市，生意特别红火，而对面翠花家的火锅店却无人问津。

 

翠花为了对付我，想了一个办法，叫了五十个人来小诺的火锅店坐着却不点菜，让别的客人无法吃饭。

上面这个例子讲的就是典型的 DDoS 攻击，全称是 Distributed Denial of Service，翻译成中文就是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。

 

 

那么问题来了

 

 

 

 

如何应对 DDoS 攻击？

 

1、高防服务器

还是拿小诺开的重庆火锅店举例，高防服务器就是小诺给重庆火锅店增加了两名保安，这两名保安可以让保护店铺不受流氓骚扰，并且还会定期在店铺周围巡逻防止流氓骚扰。

高防服务器主要是指能独立硬防御 50Gbps 以上的服务器，能够帮助网站拒绝服务攻击，定期扫描网络主节点等，东西是个好东西，只是银子还是要给够的。

 

 

2、黑名单

面对火锅店里面的流氓，我一怒之下将他们拍照入档，并禁止他们踏入店铺，但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单，此方法秉承的就是“错杀一千，也不放一百”的原则，会封锁正常流量，影响到正常业务。

 

 

3、DDoS 清洗

DDos 清洗，就是小诺发现客人进店几分钟以后，但是一直坐着不点餐，小诺就抬起旋风腿把客人踢出店里。

 

DDoS 清洗会对用户请求数据进行实时监控，及时发现DOS攻击等异常流量，在不影响正常业务开展的情况下清洗掉这些异常流量。

 

 

4、CDN 加速

CDN 加速，亲们可以这样理解：为了减少流氓骚扰，小诺干脆将火锅店开到了线上，承接外卖服务，这样流氓找不到店在哪里，也耍不来流氓了。

 

在现实中，CDN 服务将网站访问流量分配到了各个节点中，这样一方面隐藏网站的真实 IP，另一方面即使遭遇 DDoS 攻击，也可以将流量分散到各个节点中，防止源站崩溃。

 

 

5、扩充带宽砸银子（这个其实就是和流氓比谁有钱）

 

 

6、分布式集群防御

分布式集群防御的特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于10G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将流氓发来的数据包全部返回发送点，使攻击源成为瘫痪状态，从更为深度的安全防护角度去影响企业的安全执行决策。

 

 

7、限制特定流量

检查访问来源并作适当的限制，以防止异常、恶意的流量来袭，限制特定的流量，主动保护网站安全。

 

 

8、过滤不必要的服务和端口

就像防贼就要把多余的门窗关好封住一样，为了减少攻击者进入和利用已知漏洞的机会，禁止未用的服务，将开放端口的数量最小化就十分重要。端口过滤模块通过开放或关闭一些端口，允许用户使用或禁止使用部分服务，对数据包进行过滤，分析端口，判断是否为允许数据通信的端口，然后做相应的处理。