在分享防御知识之前,小诺给亲们举个例子,形象的比喻一下DDoS攻击,帮助亲们回顾一下。
小诺开了一家有五十个座位的重庆火锅店(或许亲喜欢火锅吗?),由于用料上等,童叟无欺。平时门庭若市,生意特别红火,而对面翠花家的火锅店却无人问津。
翠花为了对付我,想了一个办法,叫了五十个人来小诺的火锅店坐着却不点菜,让别的客人无法吃饭。
上面这个例子讲的就是典型的 DDoS 攻击,全称是 Distributed Denial of Service,翻译成中文就是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。
那么问题来了
1、高防服务器
还是拿小诺开的重庆火锅店举例,高防服务器就是小诺给重庆火锅店增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。
高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,东西是个好东西,只是银子还是要给够的。
2、黑名单
面对火锅店里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是“错杀一千,也不放一百”的原则,会封锁正常流量,影响到正常业务。
3、DDoS 清洗
DDos 清洗,就是小诺发现客人进店几分钟以后,但是一直坐着不点餐,小诺就抬起旋风腿把客人踢出店里。
DDoS 清洗会对用户请求数据进行实时监控,及时发现DOS攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
4、CDN 加速
CDN 加速,亲们可以这样理解:为了减少流氓骚扰,小诺干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。
在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。
5、扩充带宽砸银子(这个其实就是和流氓比谁有钱)
6、分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将流氓发来的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
7、限制特定流量
检查访问来源并作适当的限制,以防止异常、恶意的流量来袭,限制特定的流量,主动保护网站安全。
8、过滤不必要的服务和端口
就像防贼就要把多余的门窗关好封住一样,为了减少攻击者进入和利用已知漏洞的机会,禁止未用的服务,将开放端口的数量最小化就十分重要。端口过滤模块通过开放或关闭一些端口,允许用户使用或禁止使用部分服务,对数据包进行过滤,分析端口,判断是否为允许数据通信的端口,然后做相应的处理。