教你如何对付DDOS急流
点评:随着网络带宽的增加和多种DDOS黑客工具的发布,各种DDoS攻击软件可以很容易地从互联网上获得。因此,DDOS拒绝服务攻击的实施越来越容易,和DDoS攻击的上升趋势带来的互联网的快速发展的一个主要的安全威胁。商业竞争、报复、勒索网络hellip;hellip;各种原因随着网络带宽的增加和多种DDOS黑客工具的发布,各种DDoS攻击软件可以很容易地从互联网上获得。因此,DDOS拒绝服务攻击的实施越来越容易,和DDoS攻击的上升趋势带来了互联网的快速发展的一个主要的安全威胁,企业的竞争,报复,勒索网络hellip;hellip;各种各样的原因,很多IDC托管机房业务网站、游戏服务器、网络聊天等网络服务商长期以来一直困扰着DDoS攻击,随后进行了一系列的客户投诉问题,与虚拟主机的用户参与、法律纠纷、商业损失等。但是,在一定程度上,DDoS攻击永远不会消失,而随着目前的技术并不能从根本上解决问题,那么面对DDoS的困境充满着严峻的可能,我们应该如何应对呢
知道DDoS
(1)浓厚的兴趣色彩
像其他黑客的DDoS攻击的早期是一个黑客或黑客组织提高他们的手在圈内知名,为炫耀或恶作剧的目的。然后,也有DDoS攻击出于政治上的原因,如中美黑客大战和mdash mdash引发中美碰撞2001。在战争条件下,如果战争双方采取信息战的方式,拒绝服务攻击是最常用的战术手段之一。竞争对手,为了减少另一方的服务质量,使用其他的在线服务,拒绝服务攻击的黑客,使客户转向自己。此外,由于拒绝服务攻击可能会导致更大的损失,一些袭击者为敲诈的手段,收费保护,等等。总的来说,网络安全事件保持在总体数量显著增加,但也表明其技术复杂性的特点,动机变得更加有利可图,而政治化。
(2)大规模攻击中的僵尸网络成就
DDoS攻击通常通过互联网上的僵尸;;系统完成。由于个人电脑连接到互联网上的大量的防护措施是非常少的,所以很容易被黑客利用,通过插入一些代码,大量的电脑成为一个DDoS攻击者武器。当黑客发动大的DDoS攻击,他们只需要发送一些命令,这些僵尸机器在同一时间,他们可以攻击这些僵尸机器。随着僵尸网络的发展,造成DDoS攻击流量的大小可以是惊人的,并会带来的负荷量伟大的应用系统或网络本身。DDoS攻击的常见手段是SYN Flood,ACK F看上去,UDP Flood、ICMP洪水、TCP洪水,连接,等等。
通常,网络数据包使用TCP / IP网络传输协议,数据包本身是无害的,但如果一个数据包异常过多,就会造成网络设备或服务器过载;或包缺陷的一些协议,如不完整或不正常,就会造成网络设备或服务器服务正常处理系统资源的快速消耗,导致拒绝服务DDoS攻击,这是attack.ddos工作原理是很难的门,在非法与合法的混合交通流中保护的关键在于,无法有效地检测DDoS攻击,如入侵检测系统,基于特征库的模型,它是很难区分合法的PAC在中央非法包市场。此外,许多DDoS攻击通过伪造源地址的IP技术,它成功地规避工具的识别基于异常模式的监测。
(3)明确攻击目标
DDoS攻击可以防止合法用户通过消耗服务器端资源,迫使服务停止响应正常的网络资源的访问,从而达到攻击者的动机。因为一些网络通信协议的固有缺陷,服务攻击通常会导致目标主机由于小资源成本资源成本拒绝大,所以他们常常造成巨大破坏的攻击者通过一个或几个有限的主机。特别是DDoS攻击加强了控制多个傀儡主机的攻击破坏,甚至导致一些麻痹包括防火墙和路由器的网络设备。一旦分布式拒绝服务攻击的实施,日攻击的网络数据包将涌入受伤的主人般的洪水,从而将合法用户的网络包,这将导致用户正常访问网络资源。DDoS攻击所带来的危害是巨大的,很多门户网站都被DDoS攻击了,网页无法显示,该网站完全瘫痪,造成巨大损失。电信运营商提供带宽服务,大型DDoS攻击不仅影响个人客户,而且还威胁到整个运营商的网络,导致部分地区网络链路拥塞,严重影响整体业务。
(4)侵权的主要客体
任何业务系统需要通过网络提供服务,无论是在经济还是其他方面,应该考虑DDoS攻击保护的投资,为企业或政府的网络系统,互联网出口通常提供内部业务系统或网站将不涉及大量的互联网用户访问。然而,如果DDoS攻击,它仍然会带来巨大的损失。对于企业来说,DDoS攻击是指业务系统不能提供正常的服务,势必影响企业的正常生产;政府网络出口如果受到攻击,将会带来重大的政治影响,这些损失都是通过DDoS系统部署避免保护。
电子商务网站往往是黑客的目标实施DDoS攻击,和DDoS保护其投资是非常必要的。如果一个电子商务网站遭到DDoS攻击,系统无法提供正常服务时间,交易量的下降,广告,品牌损失,造成的损失,网站恢复成本等,应作为其经济损失,甚至一些黑客利用DDoS攻击勒索和现场征收苛捐杂税,使这些有网站的正常运行影响很大,而DDoS防护措施可以减少这些损失在很大程度上;另一方面,这些保护措施,避免攻击网站购买额外的带宽或设备,节省了大量的重复投资投资,带来更好的投资回报的客户。
对于运营商来说,保证网络的可用性是投资回报率的影响因素。如果运营商的基础网络受到攻击,所有的服务,负载就会瘫痪,这将不可避免地导致在服务质量下降甚至失效,同时,在当今竞争激烈的市场载体,服务质量的下降意味着客户资源的流失,特别是那些高ARPU值,并将转向其他运营商。这是运营商的一个致命的打击。因此,有效的DDoS防护措施来保证网络服务质量是非常重要的。另一方面,运营商或IDC,DDoS防护不仅可以避免企业的损失,但也提供增值服务给最终用户,这给运营商带来了新的利益增长点,同时提高其行业竞争力。
DDoS的应对方式
虽然目前有多种网络安全产品,DDoS攻击是很不好的。常见的防火墙,入侵检测,如路由器,由于开始时没有考虑相应的DDoS防护,所以没有复杂的DDoS攻击检测和有效的保护,所以依靠现有产品增加简单或系统优化方法只能应付简单的DDoS攻击,DDoS攻击或大规模无法提供有效的保护。
(1)加强防御
对于用户来说,首先是要加强防守。用更大的带宽和提高相关设备的性能是应对DDoS攻击的最直接的方式。虽然这是需要消耗一定的资源,这些都是投资放在那些在线系统的充分理由。除了增强其目标硬件的能力,还应充分发挥制度本身的潜力。通过目标系统的有针对性的处理,现有的资源能有效放大。其中,最基本的任务是做好更新补丁,并及时解决在某些操作系统的通信协议栈的能力问题。成功的业务系统也应该注意到,在企业发展阶段应考虑洪水攻击的防御能力的应用,如网站结构设计不仅要考虑网站的性能,但也要考虑到数据库服务器所能承受的连接数,为了避免数据库连接耗尽型攻击。
(2)产品选择和购买的要点
其次,我们应该充分发挥安全产品的安全功能。防火墙、UTM、IPS、甚至路由器的安全功能的充分发挥。基于源IP和端口的访问控制是必要的。也有一些DDoS防御功能的防火墙、UTM和IPS,所以我们应该充分利用它们。王玮,联想的皇家异常流量管理系统的产品经理,建议用户使用专业抗DDoS攻击。Ldquo,UTM和IPS;尽管防火墙也有一定的防御功能,但可以只能解决一部分问题,只有流量型洪水SYN洪水防御,使用SYN代理或饼干,低性能的防御机制,基于丢包统计其他抗攻击功能的简单算法,不能有效区分攻击流量和正常流量,尤其是应用型洪水攻击,它不能有效的保护专业抗DDoS产品灵活。的部署,不仅支持透明接入,同时支持旁路模式,当旁路部署,袭击发生时,拖靶流,清洗流量回到原来的网络后,你可以不改变原有用户的拓扑结构,也避免了单点故障,一旦设备故障无法预测,因为旁路功能不会造成网络服务中断。为目标的保护方法可以采取,只有目标相关的交通跟踪和处理,并在其他交通没有影响。
在这里,张翔东,在Radware高级技术工程师,建议用户可以从三个方面考虑产品的选择。首先,用户要注意攻击的预防。防护设备必须能够防止各种不同类型的攻击的实时无需人的干预,要求运营商检查原木产品,然后手动设置预防措施,显然是无法提供真正的实时防御能力,当新的攻击出现在网络上。此外,业务连续性是重要的。防护设备必须提供详细准确的检测和预防措施,可以不影响合法流量的同时防止攻击,特别重要的是确保在大量攻击的情况下的关键业务应用程序,简单的操作是必不可少的。复杂的配置和持续维护的变化都会导致不正确的配置,并最终导致识别错误和误判。为了保证国民经济持续、稳定、高效的预防、保护设备必须避免功能或策略和其他维护措施尽可能的更新。
(3)产品部署方式
在东软的产品部署,网络安全产品营销中心产品经理姚伟东认为,用户可以从三个方面防范和抵御DDoS攻击:(1)路由器访问控制:使用ACL(访问控制列表)过滤器可以为源和目的IP地址,实现协议类型、端口号和过滤其他形式的。但也有一些缺陷控制暴力,例如可以过滤蠕虫(SQL Slammer),也是SQL服务器的正常访问,这就需要一种技术,提供了一个更精细的过滤策略,根据攻击数据包的特征。(2)网关型安全装置过滤:通过DDoS功能内置的防火墙和其他安全设备,我们的查询和全时间的流量匹配,过滤DDoS流量在该技术实时的缺陷是,第一,检测手段比较机械,只可以用来识别和控制已知的DDoS攻击行为。二是低处理性能,通常小于1G BPS。(3)流量检测和流量清洗技术:通过流技术,我们提供了两种动态流量检测服务:动态基线和固定阈值。动态基线和固定阈值分别描述了链路流量、正常、异常。
(4)联合防御战略
防止DDoS攻击不能仅依赖于在单个节点上部署产品。电信运营商必须与企业用户和网络供应商紧密合作,共同采取防御战略,企业用户需要重点防御DDoS攻击的关键服务,如SYN Flood、UDP DNS Query Flood,除了特别注意HTTP洪水把CC(挑战,Collapsar,一个特殊的避免黑洞的DDoS保护服务级DDoS)应与DDoS攻击防护水平,这些攻击只需要使用很少的资源可以使其他资源消耗大,所以企业用户需要部署IPS设备来保证自己的服务器,特别是Web和数据库服务器资源不枯竭的DDoS攻击的。防御攻击,需要使用特殊的硬件重新架构,如NP ASIC混合架构基于CPU,而不是基于英特尔的开放式架构,因为如果x86架构可以防止DDoS攻击,在理论上,被攻击的服务器使用相同的架构,也应该能够防止这样的DDoS攻击,并证明这种设计是一个失败的事实。
企业用户可以采取这样的措施来保护自己的数据中心的服务器免受攻击,但无法有效地防御大规模DDoS攻击的带宽消耗,如UDP洪水(M)流洪水,泛滥,一些攻击博内特发动的攻击,因为在下游企业用户,这也是为什么需要企业和经营者采取联合防御策略的原因,理论上如果在接入运营商,或聚集和互连层部署相应的DDoS系统,向企业用户数据中心的流量基本上是干净的,因为运营商遏制DDoS攻击的源头。载波检测带宽耗尽型DDoS主要取决于整个网络流量分析而监控系统是为了识别异常流量、流量监控系统、防火墙和路由交换设备共同工作,然后将异常流量牵引到路由空洞,使其无法达到攻击目标,运营商在整个网络中部署这样一个系统需要大量的投入。