ddos攻擊成本持續(xù)走低?
的確,以前覺得DDoS離我們很遠(yuǎn),現(xiàn)在卻覺得DDoS離我們很近。特別是站長(zhǎng)朋友們,或多或少都遇到過DDoS攻擊。
DDoS攻擊是分布式拒絕服務(wù)攻擊,說得通俗易懂點(diǎn),就是黑客將不計(jì)其數(shù)的計(jì)算機(jī)集中起來發(fā)號(hào)施令向被攻擊站點(diǎn)發(fā)起請(qǐng)求。因?yàn)榉?wù)器都是有性能上限的,這些DDoS過來的請(qǐng)求本質(zhì)上也是一種合理的請(qǐng)求(只不過短時(shí)間內(nèi)的請(qǐng)求量過大,超出服務(wù)器的處理能力),被攻擊服務(wù)器資源占滿了也就使得其它合法用戶無法得到服務(wù)器的響應(yīng),而且DDoS攻擊種類很多。
因?yàn)镈DoS的這一特點(diǎn),使得DDoS的防范起來是很難的,因?yàn)槲覀冋fDDoS請(qǐng)求本質(zhì)上也是合法的請(qǐng)求。而且因?yàn)槟承┮蛩厥沟矛F(xiàn)在發(fā)起DDoS攻擊的成本很低,花很少的錢就能借助某些渠道和手段對(duì)某一目標(biāo)發(fā)起攻擊。DDoS攻擊者的目的無非就是以下幾種:
黑客的“成就感”:黑客的目的就是破壞計(jì)算機(jī)系統(tǒng)的穩(wěn)定,同時(shí)也是為了證明自己能力的一種方式,覺得自己可以控制某個(gè)系統(tǒng)運(yùn)行的正常與否,很有“成就感”。
不良競(jìng)爭(zhēng):如果兩個(gè)平臺(tái)是競(jìng)爭(zhēng)對(duì)手關(guān)系,不排除有不良競(jìng)爭(zhēng),所以DDoS攻擊也是一種手段。
說到這么多,那對(duì)于一般企業(yè)或個(gè)人,我們?cè)撊绾伪M可能避免被DDoS攻擊呢?方案其實(shí)也有很多,以下列舉一些供大家參考:
1、隱藏服務(wù)器真實(shí)IP
隱藏服務(wù)器真實(shí)IP是為了減少服務(wù)器在網(wǎng)絡(luò)上被發(fā)現(xiàn)的可能,鑒于大多數(shù)攻擊是沒有目標(biāo)性的攻擊,黑客在攻擊前會(huì)通過掃描的方式來發(fā)現(xiàn)服務(wù)器IP。如果我們?cè)谶@上面做一些處理,可以減少服務(wù)器被黑客發(fā)現(xiàn)的可能。這里常用手段有以下幾種:
使用CDN加速服務(wù)來隱藏源站服務(wù)器IP:使用CDN后,別人訪問到的其實(shí)是CDN節(jié)點(diǎn),這樣源站IP變相被隱藏起來了。而且CDN本身就是分布式的,而且CDN廠商也都有硬防,這樣極大的減少了DDoS對(duì)源站產(chǎn)生的風(fēng)險(xiǎn)。
禁用服務(wù)器ICMP響應(yīng):禁用ICMP響應(yīng)可以防止服務(wù)器被Ping通,可以過濾掉一批小黑客。
2、關(guān)閉服務(wù)器上不少要的服務(wù)及端口
不少黑客在對(duì)網(wǎng)絡(luò)上的計(jì)算機(jī)進(jìn)行掃描時(shí),也會(huì)通過一些特點(diǎn)端口進(jìn)行掃描,比如掃描3389端口、22端口等。端口就相當(dāng)于是你家的窗戶,窗戶太多,控制起來就難,難免有小偷從某個(gè)窗口進(jìn)去了。
3、限制SYN半連接數(shù)目
我們通過技術(shù)手段縮短SYN半連接的timeout超時(shí)時(shí)間,限制SYN/ICMP流量也是一種常用手段。
4、DNS智能解析
DNS解析也容易被人忽略,但要知道很多的攻擊也是針對(duì)DNS的,如果DNS受到攻擊,網(wǎng)站解析就無法正常進(jìn)行,影響業(yè)務(wù)訪問。
5、IP過濾
如果DDoS流量集中的來自于某一國家,我們可以將此國家的IP段封禁。
6、負(fù)載均衡及緩存的合理使用
我們說DDoS攻擊請(qǐng)求也是正常合法請(qǐng)求,只不過請(qǐng)求的量超過了服務(wù)器的服務(wù)能力,那我們可以提升服務(wù)器的處理能力,負(fù)載均衡和緩存的合理使用就可以做到,集群的響應(yīng)能力比單一服務(wù)器的響應(yīng)能力要好得多。
7、高防IP和硬防部署
主防IP和硬防部署對(duì)于一般中小型企業(yè)而言,價(jià)格上很貴,所以用得少。但如果真的是核心業(yè)務(wù)受到了DDoS攻擊,而且持續(xù)時(shí)間很長(zhǎng),可以考慮聯(lián)系機(jī)房臨時(shí)加上高防IP和硬防,單獨(dú)付費(fèi)即可。
對(duì)于已經(jīng)“上云”的客戶,可以動(dòng)態(tài)升級(jí)帶寬。
8、域名解析至127.0.0.1
我們都知道,127.0.0.1代表的是客戶端本地的IP,如果別人訪問一個(gè)域名,而這域名解析的IP是127.0.0.1,那它訪問的是它自己的本機(jī)。
所以說如果DDoS攻擊來襲時(shí),我們把域名解析至127.0.0.1,那是不是以其人之道,還治其人之身啦?
以上就是我的觀點(diǎn),對(duì)于這個(gè)問題大家是怎么看待的呢?歡迎在下方評(píng)論區(qū)交流 ~ 我是科技領(lǐng)域創(chuàng)作者,十年互聯(lián)網(wǎng)從業(yè)經(jīng)驗(yàn),歡迎關(guān)注我了解更多科技知識(shí)!