VPS遇到DDOS攻击怎么办
DDoS的防范到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?虽然DDos难于防范,但防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不同的任务。我们以下面几种角色为例:企业网管理员ISP、ICP管理员骨干网络运营商(一)企业网管理员网管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何做呢?可以从主机与网络设备两个角度去考虑。1.主机上的设置 几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:关闭不必要的服务限制同时打开的Syn半连接数目缩短Syn半连接的time out 时间及时更新系统补丁2.网络设备上的设置企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对特定的对象来说是否值得。 (1)防火墙 禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制特定IP地址的访问启用防火墙的防DDoS的属性严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 (2).路由器以Cisco路由器为例Cisco Express Forwarding(CEF)使用 unicast reverse-path 访问控制列表(ACL)过滤设置SYN数据包流量速率升级版本过低的ISO 为路由器建立log server(二)ISP / ICP管理员ISP / ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最易控制的傀儡机,托管的主机大都是高性能、高带宽的,往往适合用做DDos攻击。 (三)骨干网络运营商他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。方法很简单,就是每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来还很困难。对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前至少可以做到把自己的网络与主机维护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次,在受到攻击的时候,要尽量地保存证据,以便事后追查,一个良好的网络和日志系统是必要的。
遇到DDOS攻击怎么处理
1、 使用专业的异常流量清洗设备进行DDoS攻击防护,当检测探针发现网络中的异常流量突升时,会产生相应的告警并请求清洗设备进行流量清洗动作,主要包括流量牵引、清洗以及回注三个步骤,根据不同的组网方式选择合适的回注方式,保障用户业务的稳定运行;作为国内专业的异常流量清洗设备厂家,迪普科技为客户提供专业的异常流量清洗设备;
2、 对于部分超出设备防护性能的DDoS攻击,还可以在设备通过配置黑洞路由的方式进行防护;黑洞路由可以类比洪水来临时,用户将洪水引入一个深不见底的洞穴,以此保护正常业务系统稳定运行;
3、 随着DDoS攻击呈现大流量的趋势,普通用户自建防护设备的投入成本过高,此时可以采用运营商等抗D服务供应商提供的云抗D服务,由运营商协助进行DDoS攻击防护,同时用户可通过服务商提供的可视化平台直观了解业务健康状况;
4、 需要明确,DDoS攻击只能防御,无法杜绝,因此在日常运维管理过程中,可以通过隐藏目的IP、关注业内DDoS攻击态势、及时加固防护措施等预先进行防护,做好事前防护。
网宿科技成功抵御2.09Tbps DDoS攻击 峰值创国内新纪录
近日,网宿安全平台成功拦截了一次分布式拒绝服务(DDoS)攻击,该攻击带宽峰值高达2.09Tbps,创国内已知最大纪录。
据网宿 科技 首席安全官吕士表透露,“此次遭受攻击的是一个 游戏 行业客户,相较于客户网站日常带宽,攻击带宽瞬时激增万倍。当前黑客的攻击行为越来越激进,各行各业,特别是 游戏 行业的形势相当严峻。”
得益于网宿DDoS云清洗的强大能力,该客户的 游戏 服务在强烈攻击中依然保持了平稳运行。攻击结束后,网宿 科技 技术团队复盘应对过程,并提出了针对性优化安全策略建议,帮助客户进一步加固防护。
黑客首选
游戏 行业DDoS攻击常态化
游戏 行业作为高产值、高利润的代表,逐渐成为黑客攻击的首选。
据网宿 科技 发布的《2021上半年中国互联网安全报告》, 游戏 行业是2021上半年受DDoS攻击次数最多的行业,占比达到58.90%,是名列第二的电子商务行业(26.47%)两倍多。不仅如此,2021上半年 游戏 行业的峰值达450Gbps+。
与窃取数据、偷盗金钱为目的的网络攻击不同,DDoS攻击通过大量占用服务器的资源,让服务器超负荷运行,以至于无法响应正常用户的请求,从而达到瘫痪服务的目的。
“ 游戏 行业的最大特点是玩家对服务的需求是全天候的,保证业务的可用性和连续性至关重要。一般来说,数十Gbps的攻击就能造成 游戏 公司的服务器集群数据处理异常或者宕机,导致 游戏 卡顿、甚至长时间掉线,严重影响玩家体验和留存,带来经济损失。对行业客户而言,T级别攻击更是一场‘生死考’。”吕士表指出。
相关资料显示,自2016年DDoS攻击峰值迈入T级时代后,大流量攻击持续增长。更加糟糕的是,从网宿安全平台监测的数据以及近期防护事件来看,大流量攻击日趋频繁,呈常态化之势。
对于相关企业和服务商来说,提升抗D能力迫在眉睫。
15T容量
从容应对DDoS攻击
CDN的分布式架构和海量资源等优势,是天然的分布式集群防御屏障,可有效缓解突发的大流量DDoS攻击。网宿 科技 作为全球领先的新一代信息技术基础设施平台服务提供商,通过将CDN与云安全能力叠加,进一步释放与生俱来的“抗D潜能”。
“依托于全球部署的2800个节点资源以及12大流量清洗中心,网宿 科技 构建了高性能、持续演进的安全平台,全球防御带宽容量超过15Tbps。此次抗击2.09Tbps带宽规模的攻击,是公司T级抗D实力的展现。”吕士表指出。
网宿DDoS云清洗依托海量安全节点形成的强大安全网络,配以专有的攻击监控报警中心和智能调度中心,结合大数据分析、智能防御算法等核心能力,可实时精准识别各类DDoS攻击,并根据攻击情况动态调整防护策略,有效保障客户业务安全、稳定。
需要注意的是,随着近年来物联网智能设备的大量普及,其安全性问题也浮出水面,由于弱口令、漏洞发现与修复手段不够完备等原因,大量物联网设备被黑客入侵控制,沦为DDoS攻击的“肉鸡”。DDoS攻击成本更低,攻击流量峰值更大,防御难度高,更是成为黑客的不二选择。安全厂商需要不断进化,持续升级技术,以保证在客户遭受攻击时及时响应,给出专业有效的解决方案。
“网宿将在已有技术和资源基石上,进行长期持续的研发投入,不断创新和迭代安全产品,致力于成为更值得企业客户信赖的伙伴。”吕士表表示。
目前,网宿 科技 已经形成包含数据安全、主机安全、容器安全、业务安全、应用安全及网络与访问安全、零信任安全、安全加速一体化方案等10大类50项安全能力。2021年10月,公司战略升级网宿安全品牌,设10亿安全业务专项资金,用来提升产品竞争力及产业影响力。
(编辑 才山丹)
什么是DDoS攻击?面对DDOS攻击的处理方式
你好!
DDoS攻击是什么:
DDoS攻击全名为分布式拒绝服务攻击,是攻击者将多台受控制的计算机联合起来向目标计算机同时发起攻击,让目标主机系统资源耗尽,使其停止服务甚至崩溃。同时还可阻塞目标网络,使其无法为用户提供服务。
DDoS攻击常见处理办法:
1、预防:隐藏服务器或目标主机的真实IP地址,避免真实IP直接暴露在互联网,成为不法分子的攻击目标;
2、自建:架设专业防护DDoS攻击的网络安全设备,通过设置防护策略对发生的DDoS攻击进行处置,主要通过设置异常流量清洗阈值、源认证、攻击特征匹配、首包校验重传等方式实现安全防护;
3、购买服务:根据线网流量的情况,可以考虑选购国内某些运营商或云清洗供应商提供的抗DDoS服务,借助服务提供商既有的DDoS攻击防护能力,保护自身业务稳定可靠运行。
DDoS攻击
• 分布式拒绝服务(DDoS:Distributed Denial of Service Attack)攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为
• DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)
• 攻击者利用受控主机发送大量的网络数据包,占满攻击目标的带宽,使得正常请求无法达到及时有效的响应
• DNS 响应的数据包比查询的数据包大,攻击者发送的DNS查询数据包大小一般为 60 字节左右,而查询返回的数据包的大小通常在3000字节以上,因此放大倍数能达到50倍以上,放大效果惊人
• 主要通过对系统维护的连接资源进行消耗,使其无法正常连接,以达到拒绝服务的目的,此类攻击主要是因为TCP 安全性设计缺陷引起的
• 目标计算机响应每个连接请求,然后等待握手中的最后一步,但这一步确永远不会发生,因此在此过程中耗尽目标的资源
• 消耗应用资源攻击通过向应用提交大量消耗资源的请求,以达到拒绝服务的目的
• 这种类型的攻击较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL;复杂版本可能使用大量攻击性 IP 地址,并使用随机 referrer 和用户代理来针对随机网址
• LOTC是一个最受欢迎的DOS攻击工具。 这个工具曾经被流行的黑客集团匿名者用于对许多大公司的网络攻击
• 它可以通过使用单个用户执行 DOS 攻击小型服务器,工具非常易于使用,即便你是一个初学者。 这个工具执行DOS攻击通过发送UDP,TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL,其他的就交给这个工具吧
• XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议执行DOS攻击任何服务器。XOIC开发者还声称XOIC比LOIC在很多方面更强大
• 一般来说,该工具有三种攻击模式,第一个被称为测试模式,是非常基本的; 第二个是正常的DOS攻击模式; 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式
• 对付小型网站来说,这是一个很有效的DDOS工具, 但是从来没有尝试的要小心点,你可能最终会撞自己的网站的服务器
• HULK是另一个不错的DOS攻击工具,这个工具使用某些其他技术来避免通过攻击来检测,它有一个已知的用户代理列表,且使用的是随机请求
• 输入 URL ,点击 Lock on,设置 Method 模式(比如 HTTP),设置速度等其他参数
• 点击 IMMA CHARING MAH LAZER ,开始攻击
• 打开被攻击的站点,发现此时已经打不开
1、查看流量设备,发现攻击者使用僵尸网络在某时间段内发起了DDoS攻击
2、进一步对网络数据包进行抓包分析,发现攻击者使用 HTTP 请求功能向服务器发起多次请求,服务器返回多个响应文件,造成网络负载过高
3、对服务器访问日志进行排查
1、配置防火墙策略,屏蔽异常访问的IP地址
2、调整防护设备策略,在不影响业务的情况下限制 HTTP Range 形式访问
3、如果流量远远超出出口带宽,建议联系运营商进行流量清洗
1、攻击前的防御阶段
2、攻击时的缓解阶段
3、攻击后的追溯总结阶段
• 尽量避免将非业务必需的端口暴露在公网上,避免与业务无关的请求和访问
• 对服务器进行安全加固,包括操作系统即服务软件,减少可能被攻击的点
• 优化网络架构,保证系统的弹性和冗余,防止单点故障发生
• 对服务器性能进行测试,评估正常业务下能承受的带宽,保证带宽有余量
• 对现有架构进行压力测试,评估当前业务吞吐处理能力
• 使用全流量监控设备(如天眼)对全网中存在的威胁进行监控分析,实时关注告警
• 根据当前技术架构、人员、历史攻击情况等,完善应急响应技术预案
常规的流量型DDos攻击有哪些防护措施?
1.本地DDos防护设备
一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度,比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。
2.运营商清洗服务
当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗,运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。
3.云清洗服务
当运营商DDos流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。具备适用场景的可以考虑利用CNAME或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动,牵涉面较大,一般不建议作为日常常规防御手段。
以上三种防御方式存在共同的缺点,由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力,导致针对HTTPS流量的防护能力有限;同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击,且策略的颗粒度往往较粗,因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。
0条大神的评论