9019 
2023-06-23 10:13:01 DDoS攻擊可以持續(xù)數(shù)百小時DDoS攻擊可能持續(xù)幾分鐘、幾小時、甚至是幾天。這是一種讓人防不勝防的攻擊,怎么防御DDoS攻擊?很多企業(yè)在遇到攻擊的時候不知道要如何處理,今天就跟跟大家講解下在遇到ddos攻擊時為什么需要使用及怎樣使用CDN。
怎么防御DDoS攻擊?
網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個系統(tǒng)得以順暢運作的硬件基礎(chǔ),用足夠的機器、容量去承受攻擊,充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對策略,說到底攻防也是雙方資源的比拼,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失。相應(yīng)地,投入資金也不小,但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ),需要根據(jù)自身情況做出平衡的選擇。
1. 擴充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力,國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M,知名企業(yè)帶寬能超過1G,超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站,數(shù)量屈指可數(shù)。但DDoS卻不同,攻擊者通過控制一些服務(wù)器、個人電腦等成為肉雞,如果控制1000臺機器,每臺帶寬為10M,那么攻擊者就有了10G的流量。當(dāng)它們同時向某個網(wǎng)站發(fā)動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國內(nèi)非一線城市機房帶寬價格大約為100元/M*月,買10G帶寬頂一下就是100萬,因此許多人調(diào)侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價買大帶寬做防御。
2. 使用硬件防火墻
許多人會考慮使用硬件防火墻,針對DDoS攻擊和黑客入侵而設(shè)計的專業(yè)級防火墻通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機房。但如果網(wǎng)站流量攻擊超出了硬防的防護范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過濾型防火墻修改為主,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應(yīng)用層,防御能力就比較弱了。
3. 選用高性能設(shè)備
除了防火墻,服務(wù)器、路由器、交換機等網(wǎng)絡(luò)設(shè)備的性能也需要跟上,若是設(shè)備性能成為瓶頸,即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下,應(yīng)該盡量提升硬件配置。
4. 負(fù)載均衡
普通級別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個鏈接請求,網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價有效透明的方法擴展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性,對DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載,而通常這些網(wǎng)絡(luò)流量針對某一個頁面或一個鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后,鏈接請求被均衡分配到各個服務(wù)器上,減少單個服務(wù)器的負(fù)擔(dān),整個服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請求,用戶訪問速度也會加快。
5. CDN流量清洗
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺的分發(fā)、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡(luò)擁塞,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節(jié)點分擔(dān)滲透流量,目前大部分的CDN節(jié)點都有200G 的流量防護功能,再加上硬防的防護,可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。這里我們推薦一款高性比的CDN產(chǎn)品:百度云加速,非常適用于中小站長防護。
為什么需要使用及怎樣使用CDN?
當(dāng)今世界,對所有人而言,網(wǎng)站必須具有一切功能:網(wǎng)站必須有吸引力、速度快、有靈活性及可移動性,甚至必須要能夠不斷變化。此外,還必須支持頻繁的會話、支持各種瀏覽器、智能手機、平板電腦以及其它用戶可能會用到的設(shè)備。
網(wǎng)站必須能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境下運行,這些地方不僅地理位置分散,距離遙遠(yuǎn)而且網(wǎng)絡(luò)多樣化。更不必說,對于移動站點或應(yīng)用程序而言,不僅有線連接如DSL或電纜線甚至無線連接如GPRS、EDGE、3G及現(xiàn)在的LTE等,都必須有很高的連接性能,然而即使是這些提供連接服務(wù)的供應(yīng)商都可能不會有很好的網(wǎng)絡(luò)連接。\x0d\x0a此外,站點使用越來越多的對象,如圖片、幀、CSS及APIs,比如AJAX,以及遠(yuǎn)程調(diào)用,比如從Facebook調(diào)用到Google,甚至使用各種各樣的共享、跟蹤及附加值系統(tǒng)等。
系統(tǒng)變得越來越慢,用戶只訪問能夠最快打開、性能最好的網(wǎng)站。Google及其它網(wǎng)站的研究表明,一個網(wǎng)站每慢一秒鐘,就會丟失許多訪客,甚至這些訪客永遠(yuǎn)不會再次光顧這些網(wǎng)站。輸入CDN或是內(nèi)容分發(fā)網(wǎng)絡(luò),你就會搜索到國際公司如Akamai及Limelight,及中國公司如ChinaCache及ChinaNetCenter,他們可以幫助用戶提高網(wǎng)站瀏覽性能,如瀏覽互聯(lián)網(wǎng)站、網(wǎng)絡(luò)游戲網(wǎng)站及應(yīng)用程序。
基本情況是,終端用戶只連接到CDN,CDN連接到網(wǎng)站,然后緩存所有的東西,CDN代表用戶向?qū)嶓w的網(wǎng)站后臺發(fā)送請求,獲取動態(tài)數(shù)據(jù)。當(dāng)然,CDN只能改善一部分內(nèi)容的訪問速度,因為其它的內(nèi)容,如采購歷史、產(chǎn)品庫存等必須直接從后臺網(wǎng)站獲得。對于連接性很差的網(wǎng)絡(luò),如移動網(wǎng)絡(luò)以及復(fù)雜的難以將靜態(tài)內(nèi)容從靜態(tài)CDN分離出來的網(wǎng)站來說,WSA尤為好用。注意,為確保WSA成功,謹(jǐn)慎的配置及緩存控制頭信息是非常重要的,因為CDN需要知道要緩存哪些東西,以及哪些東西是要傳遞到后臺的。
總之,該系統(tǒng)能夠使網(wǎng)站在復(fù)雜的互聯(lián)網(wǎng)環(huán)境下有良好的性能表現(xiàn)。最后,有些CDN還提供全球服務(wù),幫助客戶開拓新區(qū)域或國際區(qū)域,如中國、拉美或國外其它地區(qū)。對于全球品牌而言,這種服務(wù)非常重要,對于想要獲得國際客戶的中國公司而言,這種服務(wù)也非常重要。
怎么防御DDoS攻擊是很多人都在研究的問題,很多企業(yè)都遭遇過DDoS攻擊,導(dǎo)致資源枯竭,服務(wù)應(yīng)用程序或網(wǎng)站崩潰。造成的危害不小,所以做好防御ddos攻擊的措施必不可少,以上的方式要記得收藏起來。
