随着互联网的快速发展,互联网生态越来越混乱,流量攻击也越来越频繁。5G时代,万物互联,DDoS攻击规模迈入T级时代,一切防御DDoS手段也只是减轻攻击伤害。那将来该如何防御呢?
DDoS攻击本身是无解的。无论是正规的企业网站、棋牌游戏网站、电子商务网站还是娱乐网站,很多站长都因各种网络攻击而导致网站崩溃,服务器被迫切断网络,使正常用户无法访问,造成重大损失。下面介绍一些防御DDoS攻击的手段,从DDoS攻击本身的特点来看,要想提高防御能力。可以从下面几点来着手:
1、增强主机安全能力
在部署网络服务时,不要把设备性能掐算得那么死。可以多预留一点CPU、内存、网络带宽等处理能力。这样,就算有DDoS攻击,目标系统也能多支撑一会儿。加强主机的安全策略,及时更新操作系统的安全补丁,尤其是关于TCP/IP协议堆栈方面的修复补丁。对主机上安全的互联网程序应该尽量保持更新,web网站尽量用全静态页面,并可配置iptables和nginx的反向代理来增强防御能力。数据库尽量拒绝使用代理访问。
2、部署专业安全设备
专业的安全设备一般会集成反DDoS功能,它们会对常见的DDoS攻击包进行识别。一旦识别成功,会主动丢去这些攻击包,并拒绝攻击者的连接。安全系统也还可以部署蜜罐假目标,让DDoS攻击的攻击流量流向了假目标。同时,安全系统发现攻击会联动防火墙做各种限制措施。
应急防御DDoS攻击的措施
DDoS攻击属于拒绝服务攻击。黑客通常利用庞大的“僵尸主机”对目标发起大量的连接。导致连接数量超出目标设备所能承受的极限范围。最终设备无法对外提供服务。面对这种情况,一般有以下防御应急措施。
1、限制连接数:在安全设备上限制对目标主机的访问连接数,即限制每秒新建的连接数。这可以有效减轻目标主机的压力。
2、限制IP:因为黑客发起DDoS攻击经常会伪造IP,所以可以通过发起sync包反向探测源IP地址是否真实存在,如果真实存在,立即封禁该IP。
3、限制递归查询:适用于类似针对DNS查询发起DDoS攻击。因为运营商的主DNS的查询有很多是来自其他DNS服务器的递归查询。如果服务器扛不住DDoS攻击,可以临时先关闭递归查询,减轻主DNS压力。
以上3条可以减轻被攻击主机的压力,但没法完全防御DDoS攻击。要想更好地防御DDoS攻击,还是要提前做好各种安全防御措施。
总结
没有绝对的防御DDoS攻击措施,但通过上面的安全措施,可以减少被攻击的风险。如果不幸被攻击后,也可以有效减轻被攻击造成的压力。目前针对DDoS流量攻击的防护方法中CDN防御也分为自建CDN防御,这种情况防御能力较好,但是成本较高,需要部署多节点,租用各个节点服务器,如果应用较少的话,造成资源浪费。另外就是租用别人现成的CDN防御,可以极大的节省成本,并且防御能力很少非常好。
本文来自:https://www.zhuanqq.com/News/Industry/439.html