DDoS攻击指借助于客户 / 服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。
通常,攻击者将攻击程序通过代理程序安装在网络上的各个 “肉鸡” 上,代理程序收到指令时就发动攻击。
如何有效防御服务器DDOS 攻击的方法:
常见的 DDoS 攻击种类:
网络层攻击:比较典型的攻击类型是 udp 反射攻击,例如:NTP Flood 攻击,这类攻击主要利用大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。
传输层攻击:比较典型的攻击类型包括 SYN Flood 攻击、连接数攻击等,这类攻击通过占用服务器的连接池资源从而达到拒绝服务的目的。
会话层攻击:比较典型的攻击类型是 ssl连续攻击,这类攻击占用服务器的 SSL 会话资源从而达到拒绝服务的目的。
应用层攻击:比较典型的攻击类型包括 DNS flood 攻击、HTTP flood 攻击、游戏假人攻击等,这类攻击占用服务器的应用处理资源极大的消耗服务器处理性能从而达到拒绝服务的目的。
DDOS 攻击应对策略。
这里我们分享一些在一定程度范围内,能够应对缓解 DDOS 攻击的策略方法,以供大家借鉴。
1.定期检查服务器漏洞
定期检查服务器软件安全漏洞,是确保服务器安全的最基本措施。无论是操作系统(Windows 或 Linux),还是网站常用应用软件(mysql、Apache、nginx、FTP 等),服务器运维人员要特别关注这些软件的最新漏洞动态,出现高危漏洞要及时打补丁修补。
2.隐藏服务器真实IP
通过 CDN 节点中转加速服务,可以有效的隐藏网站服务器的真实 IP 地址。CDN 服务根据网站具体情况进行选择,对于普通的中小企业站点或个人站点可以先使用免费的 CDN 服务,比如百度云加速、七牛 CDN 等,待网站流量提升了,需求高了之后,再考虑付费的 CDN 服务。
其次,防止服务器对外传送信息泄漏 IP 地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的 IP 地址。如果非要发送邮件,可以通过第三方代理(例如 sendcloud)发送,这样对外显示的 IP 是代理的 IP 地址。
3.关闭不必要的服务或端口
这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站 web 服务的 80 端口、数据库的 3306 端口、SSH 服务的 22 端口等。关闭不必要的服务或端口,在路由器上过滤假 IP。
4.购买高防提高承受能力
该措施是通过购买高防的盾机,提高服务器的带宽等资源,来提升自身的承受攻击能力。一些知名 IDC 服务商都有相应的服务提供,比如阿里云、腾讯云、百度云等。但该方案成本预算较高,对于普通中小企业甚至个人站长并不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。
5.限制 SYN/ICMP 流量
用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP 流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法,虽然目前该方法对于 DdoS 效果不太明显了,不过仍然能够起到一定的作用。
6.网站请求 IP 过滤
除了服务器之外,网站程序本身安全性能也需要提升。以小编自己的个人博客为例,使用 cms 做的。系统安全机制里的过滤功能,通过限制单位时间内的 POST 请求、404 页面等访问操作,来过滤掉次数过多的异常行为。虽然这对 DDOS 攻击没有明显的改善效果,但也在一定程度上减轻小带宽的恶意攻击。
7.提供余量带宽
通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。
8.服务器安全加固
对服务器上的操作系统、软件服务进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如,对于 WWW 服务器,只开放 80 端口,将其他所有端口关闭,或在防火墙上设置阻止策略。
限制同时打开的 SYN 半连接数目,缩短 SYN 半连接的 timeout 时间,限制 SYN/ICMP 流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能将会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN 阀值、禁用 ICMP 和 UDP 广播的策略配置。
通过 iptable 之类的软件防火墙限制疑似恶意 IP 的 TCP 新建连接,限制疑似恶意 IP 的连接、传输速率。
总结
目前而言,DDOS 攻击并没有最好的根治之法,做不到彻底防御,只能采取各种手段在一定程度上减缓攻击伤害。所以平时服务器的运维工作还是要做好基本的保障,并借鉴本文分享的方案,将 DDOS 攻击带来的损失尽量降低到最小!