oppo k9|技术分享 | 常见的DDoS攻击类型及防御措施( 二 )


(1)Https Flood
攻击者向被攻击服务器大量高频地发送请求服务 , 使服务器忙于向攻击者提供https响应资源 , 从而导致不能向正常的合法用户提供请求响应服务 。
(2)Sip invite Flood
通过发起大量的Sip invite请求 , 导致网络视频电话会议Sip服务器无法响应正常用户的请求报文 , 占用服务器带宽使其阻塞 , 达到Sip报文洪水攻击的目的 。
(3)Ntp Request Flood
攻击者向NTP服务器发送大量的请求报文 , 占用服务器带宽使其阻塞达到NTP攻击的目的 。
(4)Connection Flood
利用真实IP地址(代理服务器、广告页面)在服务器上建立大量连接 , 造成服务器上残余连接过多 , 效率降低 , 甚至资源耗尽 , 无法响应 。
四、DDoS攻击防护1、网络设施
(1)保证足够带宽
网络带宽直接决定了能抗受攻击的能力 , 假若仅仅有10M带宽的话 , 无论采取什么措施都很难对抗现在的SYN Flood攻击 。 当前至少要选择100M的共享带宽 , 最好是挂在1000M的主干上 , 才能应对当前大流量的攻击 。
(2)硬件防火墙
针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤 , 可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等流量型DDoS攻击 。
(3)选用高性能设备
除了防火墙 , 服务器、路由器、交换机等网络设备的性能也需要跟上 , 如果设备性能成为瓶颈 , 即使带宽充足也无能为力 。 在有网络带宽保证的前提下 , 应尽量提升硬件配置 。
2、防御方案
(1)负载均衡
普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求 , 网络处理能力很受限制 。 负载均衡建立在现有网络结构之上 , 提供了一种廉价、有效、透明的方法来扩展网络设备和服务器的带宽 , 增加吞吐量 , 加强网络数据处理能力 , 对DDoS流量攻击和cc攻击都有明显的防御效果 。
(2)CDN流量清洗
CDN是构建在网络之上的内容分发网络 , 依靠部署在各地的边缘服务器 , 通过中心平台的分发、调度等功能模块 , 使用户就近获取所需内容 , 降低网络拥塞 , 提高用户访问响应速度和命中率 。

CDN工作原理
(3)分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址 , 如果一个节点受攻击无法提供服务 , 系统将会根据优先级设置自动切换另一个节点 , 并将攻击者的数据包全部返回发送点 , 使攻击源成为瘫痪状态 。
(4)高防智能云解析
云解析颠覆了传统一个域名对应一个镜像的做法 , 智能根据用户的上网路线将DNS解析请求匹配到用户所属网络的服务器 。 同时云解析还具备宕机检测功能 , 随时可将瘫痪的服务器IP智能更换成正常服务器IP , 为企业的网络保持一个永不宕机的服务状态 。
3、预防手段
(1)筛查系统漏洞
及早发现系统存在的攻击漏洞 , 及时安装系统补丁 , 对重要信息建立和完善备份机制 , 对一些特权账号的密码谨慎设置 , 通过一系列的举措可以把攻击者的可乘之机降低到最小 。
(2)系统资源优化
合理优化系统 , 避免系统资源的浪费 , 尽可能减少计算机执行进程 , 减少不必要的系统加载项及自启动项 , 提高web服务器的负载能力 。
(3)限制特定流量
检查访问来源并做适当的限制 , 以防止异常、恶意的流量来袭 , 限制特定的流量 , 主动保护网站安全 。
随着互联网业务的日益增长以及网络技术的不断更新和发展 , 可以预见未来DDoS攻击还会大幅度增长 , 攻击手段也会越来越复杂多样 , 其所带来的威胁和破坏也会越来越难以估量 。 因此 , 企业需时刻保持警惕 , 提前做好应急方案 , 才能有效防御和应对包括DDoS攻击在内的各种网络安全问题 。

相关经验推荐