帮助与文档

您的位置  :  

如何防DDoS攻击:保护网站安全的6条提示

文字出处:未知  |  作者:admin  |  发布时间:2020-06-11 12:41
遭受分布式拒绝服务(DDoS)攻击的受害者可能是灾难性的:根据安全公司Cloudflare的说法,成功进行一次DDoS攻击的组织平均每小时要花费10万美元。
 
长期成本也存在:声誉损失,品牌退化和客户流失,所有这些都会导致业务流失。因此,值得投入大量资源来防止DDoS攻击,或者至少将遭受DDoS攻击的风险降至最低,而不是着重于一旦开始就如何停止DDoS攻击。
 
在本系列的第一篇文章中,我们讨论了如何防DDoS攻击。如果您有幸幸免于攻击,或者您明智地考虑了一下,那么我们现在将解决防止DDoS攻击的问题。



 
 

了解DDoS攻击

基本的批量拒绝服务(DDoS)攻击通常涉及用大量流量轰击IP地址。如果IP地址指向Web服务器,则合法流量将无法与其联系,并且该网站将不可用。DoS攻击的另一种类型是泛洪攻击,其中一组服务器被需要受害机器处理的请求泛洪。这些通常是由在僵尸网络一部分的受感染机器上运行的脚本大量生成的,并导致耗尽受害者服务器的资源(例如CPU或内存)。
 
DDoS攻击以相同的原理运行,除了恶意流量是从多个来源生成的(尽管是从一个中心点精心策划的)。流量来源(通常分布在世界各地)的事实使DDoS攻击预防比阻止源自单个IP地址的DoS攻击要困难得多。
 

了解有关不同类型的DDoS攻击的更多信息

 
防止DDoS攻击成为挑战的另一个原因是,当今的许多攻击都是“放大”攻击。其中包括向全球受损或配置错误的服务器发送小数据包,然后通过将更大的数据包发送到受到攻击的服务器来做出响应。一个著名的例子是DNS放大攻击,其中60字节的DNS请求可能导致向受害者发送4,000字节的响应-放大倍数约为原始数据包大小的70倍。
 
最近,攻击者已利用称为memcache的服务器功能发起memcached放大攻击,其中15字节的请求可能导致750 kb的响应,放大倍数是原始数据包大小的50,000倍。今年早些时候针对Github发起的有史以来最大的DDoS攻击是一种内存缓存放大攻击,其峰值达到了1.35 Tbps的数据攻击了Github的服务器。
 
恶意攻击放大参与者的好处是,与直接攻击受害者相比,他们只需有限的带宽即可对受害者发起更大的攻击。
 

防止DDoS攻击的六个步骤

1.购买更多带宽
在防止DDoS攻击的所有方法中,使基础结构具有“ DDoS抵抗力”的最基本步骤是确保您有足够的带宽来处理可能由恶意活动引起的流量峰值。
 
过去,可以通过确保您拥有比任何攻击者都可能拥有的更多的带宽来避免DDoS攻击。但是,随着放大攻击的兴起,这已不再可行。相反,现在购买更多带宽提高了攻击者必须克服的障碍,攻击者才能发起成功的DDoS攻击,但是就其本身而言,购买更多带宽并不是DDoS攻击解决方案。
 
2.在您的基础架构中构建冗余
为了使攻击者尽可能难以成功地对您的服务器发起DDoS攻击,请确保使用良好的负载平衡系统将它们分布在多个数据中心中,以在它们之间分配流量。如果可能,这些数据中心应位于不同的国家,或至少位于同一国家的不同区域。
 
为了使此策略真正有效,必须确保数据中心连接到不同的网络,并且这些网络上没有明显的网络瓶颈或单点故障。
 
在地理上和地形上分布服务器将使攻击者很难成功地攻击多于一部分的服务器,而使其他服务器不受影响,并且能够承受受影响的服务器正常处理的至少一些额外流量。
 
3.配置您的网络硬件以抵抗DDoS攻击
您可以进行许多简单的硬件配置更改,以帮助防止DDoS攻击。
 
例如,配置防火墙或路由器以丢弃传入的ICMP数据包或阻止来自网络外部的DNS响应(通过阻止UDP端口53)可以帮助防止某些基于DNS和ping的体积攻击。
 
4.部署防DDoS硬件和软件模块
您的服务器应该受到网络防火墙和更专业的Web应用程序防火墙的保护,并且您可能还应该使用负载平衡器。现在,许多硬件供应商都提供了针对DDoS协议攻击(例如SYN泛洪攻击)的软件保护,例如,通过监视存在多少不完整的连接并在数量达到可配置的阈值时刷新它们,来清除它们。
 
还可以将特定的软件模块添加到某些Web服务器软件中,以提供某些DDoS防护功能。例如,Apache 2.2.15附带了一个名为mod_reqtimeout的模块,以保护自己免受诸如Slowloris攻击之类的应用程序层攻击,该攻击会打开与Web服务器的连接,然后通过发送部分请求直到它们连接到服务器,使连接保持打开状态尽可能长的时间。服务器不能再接受新的连接。
 
5.部署DDoS保护设备
许多安全厂商,包括NetScout Arbor,Fortinet,Check Point,Cisco和Radware,都提供位于网络防火墙前面的设备,旨在阻止DDoS攻击生效。
 
他们使用多种技术来执行此操作,包括执行流量行为基准,然后阻止异常流量,以及基于已知攻击特征阻止流量。
 
这种防止DDoS攻击的方法的主要缺点是设备本身在处理流量方面受到限制。虽然高端设备可能能够检查高达80 Gbps左右的流量,但是今天的DDoS攻击很容易比这大一个数量级。
 
 
6.保护您的DNS服务器
不要忘记,恶意参与者可能能够通过DDoSing DNS服务器使您的Web服务器脱机。因此,重要的是您的DNS服务器必须具有冗余性,并且将它们放置在负载平衡器后面的不同数据中心也是一个好主意。更好的解决方案甚至可能是转向基于云的DNS提供商,该提供商可以在世界各地的数据中心中提供高带宽和多个存在点。这些服务是专门为防止DDoS而设计的。