{eval=Array;=+count(Array);}
ucloud云和ucloud云也不能否定他們無法防御,而是他們由于是外拉帶寬的關系,防御成本太高了,很多用戶無法承受這么高昂的防御費用,面對大的流量攻擊問題,建議大家用直營機房的機器,價格對比某些知名云要低,但是防護效果要好很多,因為直營機房是和電信機房合作,擁有充足的帶寬環境做防御,能讓你對比某些平臺花更少的錢得到更好的防護能力
這個問題在我們2017年撰寫過的文章里針對DDoS攻擊量級、特點以及本地防御的缺陷有過具體分析,過去了將近兩年,DDoS的攻擊量級必然有了大幅增長,但是它本身使用的技術手段、常見類型與之前差別是不大的,所以我把那篇文章去掉一些無用信息,貼上來給大家參考下。
過去的2016年,對于全球網絡安全來說可能是歷史上最黑暗的一年之一。
這一年里,一系列影響重大的安全事件接連曝出,用“令人印象深刻”已不足以形容。
透過這些事件,我們看到了過去一年全球網絡安全形勢的一些新變化。而其中最令人矚目的變化之一當屬DDoS攻擊在規模和殺傷力上的戲劇性驚人增長。
......
在2016年初,我們所注意到的最大規模DDoS攻擊流量大約為500Gbps。
而在2016年的后幾個月,我們發現有多重DDoS攻擊流量接近突破1Tbps。
這些DDoS攻擊皆由黑客們通過基于物聯網的僵尸網絡(IoT-based botnet,比如Mirai的變種)發起,并以此牟利。
相比這些觸目驚心的數字,一個有趣的事實是絕大多數DDoS攻擊流量數值要小的多的多。根據Arbor公司2016年ALTAS統計報告,80%的DDoS攻擊流量要小于1Gbps。
......
這是怎么一回事?
對于容量耗盡型DDoS攻擊(volumetric DDoS attacks)來說,它并不需多大規模即可造成影響,它只需要與你的網絡管道一樣大。換言之,發動一次容量耗盡型DDoS攻擊要比想象中容易的多。
而在我印象里,大部分機構(當然不包括服務提供商)的公網帶寬要小于1Gbps,這也意味著它們面臨DDoS攻擊威脅時會非常脆弱。
下面是另一項統計,根據Arbor公司發布的第十二份《全球基礎設施安全報告》,41%的企業和政府機構和60%的數據中心運營商報告他們所受到的DDoS攻擊超過了互聯網總帶寬。
歷史上,發動一次DDoS攻擊從未像現在這般容易,一次持續一小時的攻擊甚至僅需5美元。
與此同時,很多機構對于DDoS攻擊威脅卻依然保留著一些錯誤認知。
◆ 一些人認為自己不會成為攻擊的目標,即便遇到DDoS攻擊造成的服務中斷,他們也會將之歸咎于設備故障或者操作失誤。
◆ 而另一些人則認為僅靠防火墻、入侵防御系統(IPS)這樣的基礎設施以及由互聯網服務提供商(ISP)/內容分發網絡(CDN)提供的單層防護即可抵御威脅。
然而,指望這種防護便能遠離DDoS攻擊威脅終究只是美好的愿望。
◆ 首先,防火墻/IPS作為狀態型設備,在進行網絡連接的狀態檢測時,易被作為DDoS攻擊目標。
◆ 其次,ISP/CDN提供的單層防護無法為關鍵業務應用程序提供足夠的保護。
如今,我們人人都可能成為DDoS攻擊的受害者。因此將多層防御體系DDoS防護產品作為保險性投資無疑必要且迫在眉睫。
一個顯而易見的事實是,面對那些足夠撐爆網絡管道的資源耗盡型攻擊,只有一個方法可以讓你的機構免于威脅,那就是連上上游互聯網服務提供商(ISP)或者安全托管服務提供商(MSSP)進行云上防御。
......
那么具體如何處理DDoS攻擊威脅呢?
充分的準備是抵御DDoS攻擊的關鍵,你需要完成以下兩步來應對威脅。
— 第一步 —
在本地部署應用層阻止DDoS攻擊,在本地部署環境能更有效保護那些最重要的服務。確保本地部署內嵌專用產品可以阻止外來DDoS攻擊及其他威脅。這些產品部署在防火墻之前,他們也可以用于阻止“受傷”主機訪問外部。
另外,由于DDoS攻擊發起時毫無征兆,于是自動化便成為防范DDoS攻擊中的關鍵。本地部署產品需要能夠完成自動檢測,并在察覺即將被大規模容量耗盡型DDoS攻擊攻陷時,能夠通過云信令(Cloud Signal)來請求云上支援。
— 第二步 —
下一步則是在線路被攻擊流量占滿或者現場安全設置被攻陷之前,在云上阻止容量耗盡型DDoS攻擊。理想的系統是這樣的,本地部署檢測設施在受到DDoS攻擊時,與上游通信,動態重新規劃路由網絡,將流量引入到清洗中心(scrubbing center),在那里將惡意DDoS流量清洗掉,然后干凈的流量再被引出。而這正是應對大規模攻擊的關鍵。
最后,云上和本地部署兩個環境之間需要能夠進行智能通信,以阻止動態多重矢量攻擊。你得確保解決方案能持續獲取威脅情報支持,以進行相應處理。
DDoS僅需要在規模上與你的互聯網管道同等大小,便可對所在組織網絡安全產生影響。為最小化DDoS攻擊影響,始終開啟檢測和云上自動緩解清洗當是明智之選。
OK,作為一枚企業資訊我們,科普結束后打個廣告↓↓↓
青松云安全作為專業安全托管服務提供商(MSSP),擁有自主研發多層級防御體系,混合云方案同時具備本地私有云實時檢測高響應低延遲特點和公有云面對大規模流量攻擊的清洗優勢,速度安全亦可兼顧,精確全面的設計為緩解DDoS攻擊提供強勁助力。
感謝邀請!
DDoS攻擊是一種最常見的網絡攻擊,它是通過TCP/IP協議的三次握手進行攻擊的。是通過偽造大量的源IP地址,然后分別向服務器端發送大量的SYN包,這個時候服務器端會返回SYN/ACK 包,而偽造的IP端不會應答,服務器端沒有收到偽造的IP的回應,會進行重試機制,3~5次并等待一個SYN的時間(30s-2min),如果超時則丟棄。通過大量的網絡請求,消耗服務器的資源。完全防護這種攻擊還是蠻有難度的。一般會有幾種方式:
路由器、交換機、硬件防火墻等設備采用一些知名度高、口碑好、質量高的產品,假如攻擊發生的時候用流量限制來對抗這些攻擊是可行的方法。另外使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP
在應用程序中對每個“客戶端”做一個請求頻率的限制,或者從網站的代碼上實行優化。將數據庫壓力轉到內存中,及時的釋放資源。顯示每個IP地址的請求頻率,根據IP 地址和 User Agent 字段,進行過濾。
部署CDN,CDN可以把網站的靜態內容分發到多個服務器,可以進行帶寬擴容,增大訪問量,提高承受攻擊的能力。
最簡單的辦法就是把網頁做成靜態頁面的。
些許拙見,供您參考。
從事互聯網開發多年,歡迎大家騷擾
覺得可以是加大出口帶寬,而是不公布帶寬(人家可以測),分布式部署。web服務器備份,并且與數據庫服務器分開。在安全設備上設置規則,過濾僵尸網絡可疑數據泛洪。哈哈
目前沒有什么特別有效的辦法能根除DDos攻擊,搞這個的黑客著實有些缺德。
簡單來講,DDos攻擊就像是“占著板凳不吃涼粉”。舉個例子,我和張三都是做餐飲的,張三見到他生意做的沒我紅火,就叫了一批小混混,把我店里的座位都占滿卻不點菜,讓其他想吃飯的顧客也吃不了。但我也沒什么辦法,因為我分不清哪些是真正來吃飯的消費者,哪些是來搗亂的。
DDos就是這樣一種令人崩潰的攻擊手段,它會在短時間內向目標主機發送大量申請,而“公正無私”的服務器對于請求信息一視同仁,來一個處理一個。寶貴的主機資源被嚴重浪費,最終導致目標主機崩潰。近些年來DDos攻擊造成的事故屢見不鮮,游戲,金融等行業成了重災區。
目前業界針對DDos共計主要有以下幾種處理方式,咱們還是用先前舉的開飯館的例子:
1.高防服務器
為了應對這群搗亂的小混混,我花大價錢請了一批兇神惡煞的保安,把那些一眼看上去就不像好人的家伙統統拒之門外;
這里的“保安”就是高防服務器,像ucloud,ucloud這些財大氣粗的公司會選擇購置高防服務器,不僅能獨立硬防御 50Gbps 以上的服務器,還能定期巡邏,極大的提升了安全性;
2.設置黑名單
保安雖好,但是花銷太大,一個月的工資比我這個老板掙得都多。所以我決定親自出馬,將一批看上去像小混混的直接轟出門外(很大程度上會誤傷正常食客),并將他們一一拍照紀錄,不讓他們踏進飯店半步。
同樣的道理,高防服務器哪里都好,就是貴的離譜,一般的小公司根本承受不起。所以他們選擇親自出馬,選擇出異常請求剔除出去,再加入黑名單。可以說是“寧可錯殺一千,也不放過一個”。
3.CDN加速
再退一步,假如我既請不請保安,眼神也不好分辨不出誰是搗亂的。秉承著“惹不起還躲不起”的原則,干脆轉型不做實體店了,全部轉到線上送外賣,張三再也為難不到我了。
這就是CDN,即內容分發網絡的好處,這種網站架構將流量分配到了各個節點中,即使遭到了DDos攻擊,也能保證只是一部分內容受損,源站不會崩潰,也是目前最受關注的一種防攻擊模式。
隨著 DDoS 攻擊工具不斷的普遍和強大,互聯網上的安全隱患越來越多,以及客戶業務 系統對網絡依賴程度的增高,可以預見的是 DDoS 攻擊事件數量會持續增長,而攻擊規模也會更大,損失嚴重程度也會更高。但魔高一尺道高一丈,我們總會有更好的辦法來對抗它!
可以安裝360網站衛士,網站衛士是360旗下為網站提供免費加速和防護的云服務平臺。為站長免費提供了網站加速,智能高防DNS,防DDOS,防CC,防黑客和網站永久在線等服務,
傳統的防御思想都是單一的,如增加帶寬,買ADS設備,買DDoS防火墻,用云端和本地代替等等。有一些方法確實可以緩解,但是對企業來說,在攻擊越來越復雜的當下做好全面防護難度很大。
這時候,企業往往需要第三方的抗DDoS服務商來提供安全支持。作為企業在選購抗DDoS業務時,必須要考察以下幾點:
螢光云累計了海量的DDoS防御經驗。配合有7*24小時的專家服務,全業務支持等能力,可以根據不同業務的特點,以不同的安全策略,努力幫助企業用戶做到不再懼怕DDoS攻擊。
0
回答0
回答0
回答0
回答0
回答0
回答0
回答10
回答0
回答4
回答