摘要:另外,通過縮短半連接的時間也能有效防止攻擊,系統監控能夠通過自主設置的閾值發送報警,對系統情況進行整體的把控。
提到 DDoS 攻擊,很多人不會陌生。上周,美國當地時間 12 月 29 日,專用虛擬服務器提供商 Linode 遭到 DDoS 攻擊,直接影響其 Web 服務器的訪問,其中 API 調用和管理功能受到嚴重影響,在被攻擊的一周之內仍有部分功能不可用,嚴重影響其業務和成千上萬使用 Linode 服務的用戶。
什么是 DDoS 攻擊?
DDoS,即分布式拒絕服務(Distributed Denial of Service)攻擊,指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動攻擊,從而成倍地提高拒絕服務攻擊的威力。
DDoS 的攻擊方式有很多種,最基本的 DDoS 攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。單一的 DoS 攻擊一般是采用一對一方式,當攻擊目標 CPU 速度低、內存小或者網絡帶寬小等各項指標值不高時,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得 DoS 攻擊的困難程度加大了——目標對惡意攻擊包的消化能力加強了不少。這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生。DDoS 就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
據統計,2015 年針對企業的 DDoS 攻擊持續增長,根據 Akamai 的調查報告,2015 年 DDoS 攻擊增長了史無前例的 180% !對于本次事件的 Linode 來說,早在 2013 年,Linode 就曾受到過大規模的 DDoS 攻擊。面對 DDoS 這樣的周期性挑釁,我們應該找出被攻擊的原因,建立有效的防御體系來抵御攻擊。
防止 DDoS 攻擊的方式
1.減少公開暴露
之前曝光的的 Booter 網站或者是臭名昭著的 LizardSquad 旗下站 LizardStresser,都提供付費 DDoS 攻擊某一目標的服務,而且這些網站都會將攻擊偽裝成合法的載入測試來進行攻擊。這個黑客組織在 2014 年的圣誕節期間利用 DDoS 攻擊了微軟的 Xbox Live 和索尼的 PSN 網絡,令許多玩家很長時間無法正常娛樂。
對于企業來說,減少公開暴露是防御 DDoS 攻擊的有效方式,對 PSN 網絡設置安全群組和私有網絡,及時關閉不必要的服務等方式,能夠有效防御網絡黑客對于系統的窺探和入侵。具體措施包括禁止對主機的非開放服務的訪問,限制同時打開的 SYN 最大連接數,限制特定 IP 地址的訪問,啟用防火墻的防 DDoS 的屬性等。
(圖片來源:OneRASP)
2.利用擴展和冗余
DDoS 攻擊針對不同協議層有不同的攻擊方式,因此我們必須采取多重防護措施。利用擴展和冗余可以防患于未然,保證系統具有一定的彈性和可擴展性,確保在 DDoS 攻擊期間可以按需使用,尤其是系統在多個地理區域同時運行的情況下。任何運行在云中的虛擬機實例都需要保證網絡資源可用。
微軟針對所有的 Azure 提供了域名系統(DNS)和網絡負載均衡,Rackspace 提供了控制流量流的專屬云負載均衡。結合 CDN 系統通過多個節點分散流量,避免流量過度集中,還能做到按需緩存,使系統不易遭受 DDoS 攻擊。
3.充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有 10M 帶寬的話,無論采取什么措施都很難對抗當今的 SYNFlood 攻擊,至少要選擇 100M 的共享帶寬,最好的當然是掛在1000M 的主干上了。但需要注意的是,主機上的網卡是 1000M 的并不意味著它的網絡帶寬就是千兆的,若把它接在 100M 的交換機上,它的實際帶寬不會超過 100M,再就是接在 100M 的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為 10M,這點一定要搞清楚。
4.分布式服務拒絕 DDoS 攻擊
所謂分布式資源共享服務器就是指數據和程序可以不位于一個服務器上,而是分散到多個服務器。分布式有利于任務在整個計算機系統上進行分配與優化,克服了傳統集中式系統會導致中心主機資源緊張與響應瓶頸的缺陷,分布式數據中心規模越大,越有可能分散 DDoS 攻擊的流量,防御攻擊也更加容易。
5.實時監控系統性能
除了以上這些措施,對于系統性能的實時監控也是預防 DDoS 攻擊的重要方式。不合理的 DNS 服務器配置也會導致系統易受 DDoS 攻擊,系統監控能夠實時監控系統可用性、API、CDN 以及 DNS 等第三方服務商性能,監控網絡節點,清查可能存在的安全隱患,對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機加強監控是非常重要的。
另外,通過縮短 SYN 半連接的 time out 時間也能有效防止 DDoS 攻擊,系統監控能夠通過自主設置的 Time out 閾值發送報警,對系統情況進行整體的把控。
(圖片來源:Cloud Test)
Cloud Test?是基于云技術的實時監控系統,能夠幫大家實時監控網站性能,監控CDN、DNS、API等第三方服務提供商的可用性,實現應用性能及時監測及時報警。想閱讀更多技術文章,請訪問?OneAPM?官方技術博客。
本文轉自 OneAPM 官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11151.html
摘要:由于要面對許多不同類型的云安全威脅,企業制定牢固且周密的云安全策略是至關重要的。為此,企業可以采取以下五個措施來提升自己的云安全性。 由于要面對許多不同類型的云安全威脅,企業制定牢固且周密的云安全策略是至關重要的。為此,企業可以采取以下五個措施來提升自己的云安全性。showImg(https://segmentfault.com/img/bVbkXAk?w=600&h=447);建立完...
摘要:針對互聯網攻擊,高防服務器將如何防御高防服務器只能防下,且防護能力有限,現在都普遍使用云防了,又有加速效果節省源服務器帶寬成本,還能防攻擊攻擊以及各種的頁面篡改注入等類型的攻擊。游戲服務器被惡意攻擊怎么辦,如何防御ddos攻擊?DDoS,英文Distributed Denial of Service,即分布式拒絕服務。DDoS攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對...
摘要:對于上述問題,混合云架構無疑是企業的最佳選擇。解決方案將本地環境與公有云連通組成混合云架構,實現對本地環境計算能力的快速擴展。前言當前各行各業在積極擁抱云計算,但由于一些歷史原因和合規要求導致很多企業全面上云比較困難,比如企業監管制度及合規要求一些核心數據庫必須保留在本地數據中心;本地數據中心作為企業固定資產不容易完全拋棄;有些大型集團企業IT架構復雜,全面遷移上云的影響難以評估等等。因此,...
摘要:對于上述問題,混合云架構無疑是企業的最佳選擇。解決方案將本地環境與公有云連通組成混合云架構,實現對本地環境計算能力的快速擴展。前言當前各行各業在積極擁抱云計算,但由于一些歷史原因和合規要求導致很多企業全面上云比較困難,比如企業監管制度及合規要求一些核心數據庫必須保留在本地數據中心;本地數據中心作為企業固定資產不容易完全拋棄;有些大型集團企業IT架構復雜,全面遷移上云的影響難以評估等等。因此,...
閱讀 1225·2021-11-11 16:54
閱讀 1738·2021-10-13 09:40
閱讀 932·2021-10-08 10:05
閱讀 3497·2021-09-22 15:50
閱讀 3701·2021-09-22 15:41
閱讀 1782·2021-09-22 15:08
閱讀 2338·2021-09-07 10:24
閱讀 3570·2019-08-30 12:52