ucloud云和ucloud云也不能否定他们无法防御,而是他们由于是外拉带宽的关系,防御成本太高了,很多用户无法承受这么高昂的防御费用,面对大的流量攻击问题,建议大家用直营机房的机器,价格对比某些知名云要低,但是防护效果要好很多,因为直营机房是和电信机房合作,拥有充足的带宽环境做防御,能让你对比某些平台花更少的钱得到更好的防护能力
评论0
加载中...
这个问题在我们2017年撰写过的文章里针对DDoS攻击量级、特点以及本地防御的缺陷有过具体分析,过去了将近两年,DDoS的攻击量级必然有了大幅增长,但是它本身使用的技术手段、常见类型与之前差别是不大的,所以我把那篇文章去掉一些无用信息,贴上来给大家参考下。
过去的2016年,对于全球网络安全来说可能是历史上最黑暗的一年之一。
这一年里,一系列影响重大的安全事件接连曝出,用“令人印象深刻”已不足以形容。
透过这些事件,我们看到了过去一年全球网络安全形势的一些新变化。而其中最令人瞩目的变化之一当属DDoS攻击在规模和杀伤力上的戏剧性惊人增长。
......
在2016年初,我们所注意到的最大规模DDoS攻击流量大约为500Gbps。
而在2016年的后几个月,我们发现有多重DDoS攻击流量接近突破1Tbps。
这些DDoS攻击皆由黑客们通过基于物联网的僵尸网络(IoT-based botnet,比如Mirai的变种)发起,并以此牟利。
相比这些触目惊心的数字,一个有趣的事实是绝大多数DDoS攻击流量数值要小的多的多。根据Arbor公司2016年ALTAS统计报告,80%的DDoS攻击流量要小于1Gbps。
......
这是怎么一回事?
对于容量耗尽型DDoS攻击(volumetric DDoS attacks)来说,它并不需多大规模即可造成影响,它只需要与你的网络管道一样大。换言之,发动一次容量耗尽型DDoS攻击要比想象中容易的多。
而在我印象里,大部分机构(当然不包括服务提供商)的公网带宽要小于1Gbps,这也意味着它们面临DDoS攻击威胁时会非常脆弱。
下面是另一项统计,根据Arbor公司发布的第十二份《全球基础设施安全报告》,41%的企业和政府机构和60%的数据中心运营商报告他们所受到的DDoS攻击超过了互联网总带宽。
历史上,发动一次DDoS攻击从未像现在这般容易,一次持续一小时的攻击甚至仅需5美元。
与此同时,很多机构对于DDoS攻击威胁却依然保留着一些错误认知。
◆ 一些人认为自己不会成为攻击的目标,即便遇到DDoS攻击造成的服务中断,他们也会将之归咎于设备故障或者操作失误。
◆ 而另一些人则认为仅靠防火墙、入侵防御系统(IPS)这样的基础设施以及由互联网服务提供商(ISP)/内容分发网络(CDN)提供的单层防护即可抵御威胁。
然而,指望这种防护便能远离DDoS攻击威胁终究只是美好的愿望。
◆ 首先,防火墙/IPS作为状态型设备,在进行网络连接的状态检测时,易被作为DDoS攻击目标。
◆ 其次,ISP/CDN提供的单层防护无法为关键业务应用程序提供足够的保护。
如今,我们人人都可能成为DDoS攻击的受害者。因此将多层防御体系DDoS防护产品作为保险性投资无疑必要且迫在眉睫。
一个显而易见的事实是,面对那些足够撑爆网络管道的资源耗尽型攻击,只有一个方法可以让你的机构免于威胁,那就是连上上游互联网服务提供商(ISP)或者安全托管服务提供商(MSSP)进行云上防御。
......
那么具体如何处理DDoS攻击威胁呢?
充分的准备是抵御DDoS攻击的关键,你需要完成以下两步来应对威胁。
— 第一步 —
在本地部署应用层阻止DDoS攻击,在本地部署环境能更有效保护那些最重要的服务。确保本地部署内嵌专用产品可以阻止外来DDoS攻击及其他威胁。这些产品部署在防火墙之前,他们也可以用于阻止“受伤”主机访问外部。
另外,由于DDoS攻击发起时毫无征兆,于是自动化便成为防范DDoS攻击中的关键。本地部署产品需要能够完成自动检测,并在察觉即将被大规模容量耗尽型DDoS攻击攻陷时,能够通过云信令(Cloud Signal)来请求云上支援。
— 第二步 —
下一步则是在线路被攻击流量占满或者现场安全设置被攻陷之前,在云上阻止容量耗尽型DDoS攻击。理想的系统是这样的,本地部署检测设施在受到DDoS攻击时,与上游通信,动态重新规划路由网络,将流量引入到清洗中心(scrubbing center),在那里将恶意DDoS流量清洗掉,然后干净的流量再被引出。而这正是应对大规模攻击的关键。
最后,云上和本地部署两个环境之间需要能够进行智能通信,以阻止动态多重矢量攻击。你得确保解决方案能持续获取威胁情报支持,以进行相应处理。
DDoS仅需要在规模上与你的互联网管道同等大小,便可对所在组织网络安全产生影响。为最小化DDoS攻击影响,始终开启检测和云上自动缓解清洗当是明智之选。
OK,作为一枚企业资讯我们,科普结束后打个广告↓↓↓
青松云安全作为专业安全托管服务提供商(MSSP),拥有自主研发多层级防御体系,混合云方案同时具备本地私有云实时检测高响应低延迟特点和公有云面对大规模流量攻击的清洗优势,速度安全亦可兼顾,精确全面的设计为缓解DDoS攻击提供强劲助力。
评论0
加载中...
感谢邀请!
DDoS攻击是一种最常见的网络攻击,它是通过TCP/IP协议的三次握手进行攻击的。是通过伪造大量的源IP地址,然后分别向服务器端发送大量的SYN包,这个时候服务器端会返回SYN/ACK 包,而伪造的IP端不会应答,服务器端没有收到伪造的IP的回应,会进行重试机制,3~5次并等待一个SYN的时间(30s-2min),如果超时则丢弃。通过大量的网络请求,消耗服务器的资源。完全防护这种攻击还是蛮有难度的。一般会有几种方式:
路由器、交换机、硬件防火墙等设备采用一些知名度高、口碑好、质量高的产品,假如攻击发生的时候用流量限制来对抗这些攻击是可行的方法。另外使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP
在应用程序中对每个“客户端”做一个请求频率的限制,或者从网站的代码上实行优化。将数据库压力转到内存中,及时的释放资源。显示每个IP地址的请求频率,根据IP 地址和 User Agent 字段,进行过滤。
部署CDN,CDN可以把网站的静态内容分发到多个服务器,可以进行带宽扩容,增大访问量,提高承受攻击的能力。
最简单的办法就是把网页做成静态页面的。
些许拙见,供您参考。
从事互联网开发多年,欢迎大家骚扰
评论0
加载中...
觉得可以是加大出口带宽,而是不公布带宽(人家可以测),分布式部署。web服务器备份,并且与数据库服务器分开。在安全设备上设置规则,过滤僵尸网络可疑数据泛洪。哈哈
评论0
加载中...
目前没有什么特别有效的办法能根除DDos攻击,搞这个的黑客着实有些缺德。
简单来讲,DDos攻击就像是“占着板凳不吃凉粉”。举个例子,我和张三都是做餐饮的,张三见到他生意做的没我红火,就叫了一批小混混,把我店里的座位都占满却不点菜,让其他想吃饭的顾客也吃不了。但我也没什么办法,因为我分不清哪些是真正来吃饭的消费者,哪些是来捣乱的。
DDos就是这样一种令人崩溃的攻击手段,它会在短时间内向目标主机发送大量申请,而“公正无私”的服务器对于请求信息一视同仁,来一个处理一个。宝贵的主机资源被严重浪费,最终导致目标主机崩溃。近些年来DDos攻击造成的事故屡见不鲜,游戏,金融等行业成了重灾区。
目前业界针对DDos共计主要有以下几种处理方式,咱们还是用先前举的开饭馆的例子:
1.高防服务器
为了应对这群捣乱的小混混,我花大价钱请了一批凶神恶煞的保安,把那些一眼看上去就不像好人的家伙统统拒之门外;
这里的“保安”就是高防服务器,像ucloud,ucloud这些财大气粗的公司会选择购置高防服务器,不仅能独立硬防御 50Gbps 以上的服务器,还能定期巡逻,极大的提升了安全性;
2.设置黑名单
保安虽好,但是花销太大,一个月的工资比我这个老板挣得都多。所以我决定亲自出马,将一批看上去像小混混的直接轰出门外(很大程度上会误伤正常食客),并将他们一一拍照纪录,不让他们踏进饭店半步。
同样的道理,高防服务器哪里都好,就是贵的离谱,一般的小公司根本承受不起。所以他们选择亲自出马,选择出异常请求剔除出去,再加入黑名单。可以说是“宁可错杀一千,也不放过一个”。
3.CDN加速
再退一步,假如我既请不请保安,眼神也不好分辨不出谁是捣乱的。秉承着“惹不起还躲不起”的原则,干脆转型不做实体店了,全部转到线上送外卖,张三再也为难不到我了。
这就是CDN,即内容分发网络的好处,这种网站架构将流量分配到了各个节点中,即使遭到了DDos攻击,也能保证只是一部分内容受损,源站不会崩溃,也是目前最受关注的一种防攻击模式。
随着 DDoS 攻击工具不断的普遍和强大,互联网上的安全隐患越来越多,以及客户业务 系统对网络依赖程度的增高,可以预见的是 DDoS 攻击事件数量会持续增长,而攻击规模也会更大,损失严重程度也会更高。但魔高一尺道高一丈,我们总会有更好的办法来对抗它!
评论0
加载中...
可以安装360网站卫士,网站卫士是360旗下为网站提供免费加速和防护的云服务平台。为站长免费提供了网站加速,智能高防DNS,防DDOS,防CC,防黑客和网站永久在线等服务,
评论0
加载中...
传统的防御思想都是单一的,如增加带宽,买ADS设备,买DDoS防火墙,用云端和本地代替等等。有一些方法确实可以缓解,但是对企业来说,在攻击越来越复杂的当下做好全面防护难度很大。
这时候,企业往往需要第三方的抗DDoS服务商来提供安全支持。作为企业在选购抗DDoS业务时,必须要考察以下几点:
萤光云累计了海量的DDoS防御经验。配合有7*24小时的专家服务,全业务支持等能力,可以根据不同业务的特点,以不同的安全策略,努力帮助企业用户做到不再惧怕DDoS攻击。
评论0
加载中...
0
回答0
回答0
回答0
回答0
回答0
回答0
回答10
回答0
回答4
回答
