前言:

DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量“肉鸡”对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务。

DDOS攻击具有攻击成本低、危害大、防御难的特点,是企业安全建设需要防范的风险之一,本节介绍DDOS攻击分类及危害、DDOS攻击的常用方案,并重点阐述云抗DDOS攻击应用方案。

目录

前言:

DDOS攻击分类及危害

1.DDOS攻击分类

2.DDOS攻击危害

DDOS攻击防护方案

云抗DDOS攻击应用实践

1.云抗DDOS攻击防护方案说明

2.云抗DDOS攻击注意事项

典型应用案例

1.背景

2.DDOS防护方案

DDOS攻击分类及危害

1.DDOS攻击分类

从DDOS攻击的类型上,主要分为流量型攻击和应用型攻击。流量型攻击如SYNFoold、ACK Flood、UDP Flood;应用型攻击主要包括HTTP CC攻击、DNS Query Flood。

如图1为SYN Flood攻击,客户端发送SYN包给服务端,服务端返回SYN+ACK包,客户端会返回ACK确认包,完成3次握手。但是攻击者可以很容易伪造源IP发送SYN包,服务端响应SYN+ACK包,但客户端永远不会回复ACK确认包,所以服务端会不断重试(一般会5次),当大量的恶意攻击请求包发送过来后,服务端需要大量的资源维护这些半连接,直到资源耗尽。

图1 SYN Flood攻击示意图

如图2,为CC攻击的软件示意图,该软件可以接入代理IP源,每个请求使用不同代理IP,并且可以修改请求的浏览器UA、控制线程数、选择攻击目标等,攻击的效率非常高,只要掌握数台机器和代理IP资源,就可以发送大量的HTTP请求,耗尽Web服务器的性能。

图2 CC攻击示意图

2.DDOS攻击危害

如果是流量型攻击,很容易把互联网入口堵死,一般DDOS流量攻击动不动就是10G打起,对于一般中小企业,互联网总带宽远小于这个量级,很容易就被打垮。如果是托管在运营商或第三方数据中心机房,为了保障在同机房中的其他客户能正常使用互联网带宽资源,往往会将被攻击的IP临时摘除(黑洞),让黑客的攻击流量无法送达。如图3为流量型攻击的示例图,运营商的抗DDOS设备上监控到的10G左右的攻击流量从不同地方打过来。

在湖南的小伙伴应该知道:5月份某日湖南电信遭遇DDOS洪水攻击导致下午几个小时全省集体断网....

​图3 流量型DDOS攻击案例

如果是CC攻击,很容易把Web服务器或相关数据库服务器打死,特别是有和数据库交互的页面,黑客攻击时会先找到这样的页面,然后发起大并发的HTTP请求,直到耗尽Web服务器性能或数据库性能,无法正常提供服务。如图4为CC攻击示意图,可以看到在一段时间内,同一个Useragent的请求占比很高,有些CC攻击会往固定的几个URL发起攻击,这些URL的请求量会特别高。

​图4 CC攻击特征

如果没有效手段阻断攻击DDOS攻击,必将影响公司业务正常开展。

DDOS攻击防护方案

​DDOS攻击防护需要依靠DDOS攻击防护系统,如图5所示,为运营商级DDOS攻击防护系统的防护架构图,其防护流程如下。

(1)正常情况流量从运营商骨干网路由器路由到用户机房的路由器上。

(2)DDOS攻击防护系统一般包括检测系统和清洗系统2个部分,检测系统通过网口镜像或分光器镜像流量的分析,判断是否存在DDOS攻击行为,一旦发现则通知清洗服务器,开启防护模式。

(3)清洗系统开启BGP通告,将原来转向用户机房的路由牵引到清洗系统路由器上,这时攻击流量就改变方向流向到清洗服务器上。

(4)清洗服务器将攻击流量清洗,正常业务流量放行。

(5)正常业务流量回注到用户机房,这样就完成了DDOS攻击防护。

​图5 DDOS攻击防护架构图

DDOS攻击防御的前提条件是有足够的冗余带宽,冗余带宽是指保障业务正常访问带宽后的剩余带宽。因此,除了少数大型企业有自建DDOS防护系统的必要,大多数情况一般是购买运营商抗DDOS服务,或者使用云抗DDOS防护服务。如表1,为不同DDOS攻击防护方案的应用场景和优缺点比较。

表1 常见DDOS攻击防护方案对比​

本节重点介绍云抗DDOS应用方案和实践经验。

云抗DDOS攻击应用实践

1.云抗DDOS攻击防护方案说明

如图6所示,为典型的云抗DDOS攻击防护方案部署图。

​​图6 云抗DDOS攻击应用方案

(1)首先需要购买高防IP服务,根据需要选择,建议选择BGP高防。高防IP服务一般有保底防护带宽和弹性防护带宽,弹性防护带宽需要根据实际防护量单独再收费。

(2)配置DDOS防护策略,需要将域名、回源配置设置好,如果是CC攻击防护,还需要将HTTPS证书导入到抗DDOS防护中心。

(3)验证配置是否正确,可以修改本地电脑的hosts文件,改到高防IP上,然后通过域名访问,看是否已生效。

(4)实际使用时,将DNS切换到云抗DDOS中心,一般通过修改CNAME或A记录即可。

2.云抗DDOS攻击注意事项

(1)在实际应用过程中,建议将抗DDOS的源站线路和日常源站线路分开,且抗DDOS攻击的源站IP没有被暴露过。因为一般发生攻击时,源站线路的IP可能被ISP黑洞,短时间内无法使用;另外如果更换一个同一个网段的IP作为新的源站IP,很容易被黑客猜到。

(2)主站IP要和其他服务站点的IP分开,因为主站IP经常可能遭受攻击,这样可以降低攻击的影响面。

(3)需要放行云DDOS防护中心的网段,避免被防火墙、IPS、WAF等设备阻断(因为同IP的请求频率会变高)。另外需要考虑透传真实用户请求IP,用于进行统计分析等应用。

(4)需要考虑服务延时,需要考虑云抗DDOS中心机房和源站的地理位置,如果离得太远,很有可能会增加访问延时。

(5)一般不建议将流量一直切换到抗DDOS中心,只有遭受攻击时再切换。或者当有重要活动时,可以事先切换上去,避免遭受攻击时DNS切换的时间,影响重要业务活动。

(6)对于CC攻击,第一优先防护方案是WAF,如果实在不行,再切换到抗DDOS中心。

典型应用案例

​1.背景

某公司,主机房服务器托管在数据中心,灾备机房在云上。主要应用为网站和APP,经常遭受DDOS攻击,影响业务开展。

2.DDOS防护方案

  • 采购某云DDOS厂商服务,10G BGP + 弹性防护扩展。
  • 使用专用线路用于抗DDOS回源。
  • 攻击时通过DNS切换将流量切到高防IP上,营销活动开展时,事先将流量切到高防上。
  • HTTPS证书配置到DDOS设备上。
  • 流量型攻击防护效果比较理想,CC攻击防护效果也不错(需要和厂商配合进行策略优化)。

「短小精悍」4步教你学会如何DDOS攻击与防护相关推荐

  1. omnigraffle 画曲线_「技法」三步学会用绘图利器 OmniGraffle 绘制流程图

    OmniGraffle 是 Mac 上的绘图利器,曾获2002年苹果设计奖.Graffle 在很多方面对标 Windows 系统上的 Microsoft Visio,是制作各种文档的绝妙工具.这篇文章 ...

  2. 通过「解救人质」小游戏教你学会碰撞检测

    游戏开发中,碰撞检测无处不在,今天就通过一个简单的小游戏教你学会如何在 Cocos Creator 中进行碰撞检测.配合官方文档学习效果更加(官方文档传送门:https://docs.cocos.co ...

  3. 当 AI 掌握「读心术」:DeepMind AI 已经学会相互理解

    有时候,我们会觉得 Siri 或 Alexa 等数字助理非常令人失望,因为它们根本不懂我们人类.它们需要懂点被心理学家称为「心智理论」(theory of mind)的东西,搞清楚别人的信念和意图.最 ...

  4. 一本书学会可视化设计 pdf_「读书」数据之美-一本书学会可视化设计

    [导读]本文约2200字,阅读时间约为15分钟. 每周,零一与您分享一本书,共同探索数据世界的浩瀚.若您喜欢,可转发与更多的人交流,共同成长. 一.数据 大多数人对于数据,仍然停留到较为表面的含义上, ...

  5. 计算机修图教程,电脑修图太复杂 3步教你学会用手机做肤色后期

    电脑修图太复杂,学不会?没关系,现在手机软件也很强大.只要掌握调色原理,无论是电脑,还是手机通通没有问题. 羡慕我照片中的人像肤色白皙,红润有光泽?没关系,现在就传你手机后期肤色通透大法!三步搞定,直 ...

  6. 卡西欧电子计算机怎么换电池,卡西欧手表怎么换电池 简单四步教你学会

    卡西欧手表一直深受很多朋友的喜爱,所以这个手表的市场占有率还是很高的.在配带卡西欧手表时,我们都会遇到手表电池没电的情况,这时候就需要更换电池,那么自己怎么换电池呢. 第一步,在更换卡西欧手表电池的时 ...

  7. 十步教你学会Sunny-Ngrok内网穿透使用

    第一步 第二步 第三步 第四步 第五步 第六步 第七步 第八步 第九步 看到上面界面这说明你已经成功了,(赶紧去试试吧) 第十步 教学来自b站up主 狂神说 (拒绝白嫖

  8. 数据可视化之设计经验分享:轻松三步教你学会制作数据可视化大屏思路

    当看到屏幕上一个个炫酷,具有科技感的数据大屏时,很多人都会好奇这是怎么做出来的.自己在制作大屏时明明按着需求做了,可是做出来后总是觉得画面不好看,不够炫,感觉很糟糕. 那要如何才能设计那样的数据可视化 ...

  9. 4步教你学会使用matlab模糊控制工具箱

    原帖地址:http://blog.sina.com.cn/s/blog_408540af0100avnv.html Matlab模糊控制工具箱为模糊控制器的设计提供了一种非常便捷的途径,通过它我们不需 ...

最新文章

  1. JSP、EL和JSTL-学习笔记01【JSP基础语法】
  2. ubuntu 16.04 安装MXNet GPU版本
  3. HTML转义字符大全 (换行,enter,所有特殊字符)
  4. how is SAP UI5 applyBackendSearchPattern being called
  5. GraphQL:面对复杂类型
  6. C ++ STL中的set :: upper_bound()函数
  7. JFinal中实体类存取之循序渐进法
  8. jsp页面时间戳转换为时间格式
  9. 抽象代数基础教程(a first course in abstract algebra) 英文版 pdf下载
  10. python 爬取热搜网教程 (上)
  11. 远程连接virtualBox本地虚拟机并访问虚拟机服务
  12. 标准差和标准误差、平均值
  13. APP开发:线上教育APP盈利模式分析
  14. 2D Pose人体关键点实时检测(Python/Android /C++ Demo)
  15. 飞塔防火墙命令行终端修改输出长度
  16. 好像记得有个人喜欢我
  17. 大前端 - react- 服务端渲染 - Gatsby
  18. 最新python与SEO实战课程第2期项目实战(完整)
  19. Direct Sparse Odometry (一)初始化过程中的光度误差优化
  20. 世界首款胸腔植入物在人体内“存活”;药明生基美国费城扩建基地投入运营 | 医药健闻...

热门文章

  1. Nginx 常用操作的总结
  2. 漏洞修复:HTML5: CORS Functionality Abuse
  3. 0001-环保局垃圾分类绿色低碳通用PPT模板免费下载
  4. 树洞外链更新至2.2-支持本地/远程储存,新增用户系统
  5. 鸿蒙智能家居市场,华为鸿蒙新系统,意在智能家居?
  6. 【转】 iOS-Core-Animation-Advanced-Techniques(七)
  7. 微信官方提供的生成二维码接口得到的是当前公众号的二维码
  8. mysqld.service holdoff time over, scheduling restart.
  9. 怎样把 PPT 做的像麦肯锡一样专业?!
  10. 前端笔记之HTML标签学习