中国站

DDoS攻击防御攻略:服务器可以通过哪些方法更好地防御DDoS攻击?

2019-10-24 18:39:09 来源:亿速云

DDoS( 英文全写: Distributed Denial of Service,缩写:DDoS ),翻译成中文,意思是“分布式拒绝服务”。DDoS攻击,是一种耗尽攻击目标的系统资源,导致攻击目标无法响应正常服务请求的网络攻击方式。这种攻击手法通过借助于“客户/服务器”技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动攻击。

上图就是DDoS攻击的原理,它能在短时间内对攻击目标发起大量的访问请求,试图耗尽攻击目标的网络资源或服务器资源,让攻击目标的网络陷入瘫痪或者服务器无法响应正常的访问请求,并最终造成攻击目标网站的实质性无法访问。

DDoS攻击具体有哪些类型?

从技术角度来讲,DDoS攻击不是一种单纯的网络流量攻击,而是一大类网络流量攻击的总称,它有多种类型,包括:SYN Flood流量攻击 、ACK流量攻击、TCP Flood流量攻击、UDP Flood流量攻击、 ICMP Flood流量攻击等,以及其他变种类型的攻击。

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

ACK Flood的攻击跟上面这个SYN的攻击差不多,都是同样采用发送数据包到服务器端去,攻击者利用ACK数据包进行攻击,只要服务器接受ACK的包,那么就会造成ACK连接过多导致服务器资源耗尽,服务器没有多余的资源来接收ACK的包,服务器就无法打开了。

TCP Flood是一种针对TCP/IP协议发起的攻击,其明显特征是被攻击者的主机上存在大量的TCP连接,TCP洪水属于DDOS的一种,其威力比其他DDOS种类要强很多,因为它是基于连接的,而不是单纯的数据包攻击,所以被攻击者的主机很快瘫痪,如果黑客肉鸡够多的话,可以攻下一个网站,TCP 3次握手顺序是攻击者发送带有SYN标志的数据包到被害者,然后被害者再返回一个带有ACK。

UDP Flood是属于UDP协议中的一种流量攻击,攻击特征是伪造大量的真实IP并发送小数量的数据包对要攻击的服务器进行发送,只要服务器开启UDP的端口就会受到流量攻击。如何防御这种流量攻击,对UDP的包数据大小进行设置,严格把控发送的数据包大小,超过一定值的数据包进行丢弃,再一个防御的方法是只有建立了TCP链接的IP,才能发送UDP包,否则直接屏蔽该IP。

ICMP Flood是利用ICMP协议对服务器进行PING的攻击,放大icmp的长度,以及数据包的字节对服务器进行攻击。TCP-flood攻击是一种使用tcp三次握手协议的一种方式来进行的攻击,攻击特种是伪造大量的真实IP去连接要攻击的服务器,导致服务器无法承载更多的TCP连接而导致服务器瘫痪。

服务器应对DDoS攻击的方法和策略

在这里给大家分享一些服务器能够应对和缓解DDoS攻击的方法与策略,以供大家参考、借鉴。

一、确保服务器系统安全

1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2、管理员需对所有主机进行检查,知道访问者的来源。
3、关闭不必要的服务:在服务器上删除未使用的服务,关闭未使用的端口。
4、限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量。
5、正确设置防火墙,在防火墙上运行端口映射程序或端口扫描程序。
6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。

二、其他的一些防御方法和措施

1、 隐藏服务器真实IP

服务器防御DDoS攻击最根本的措施就是隐藏服务器真实IP地址。当服务器对外传送信息时就可能会泄露IP,例如,我们常见的使用服务器发送邮件功能就会泄露服务器的IP。
因而,我们在发送邮件时,需要通过第三方代理发送,这样子显示出来的IP是代理IP,因而不会泄露真实IP地址。在资金充足的情况下,可以选择高防服务器,且在服务器前端加CDN中转,所有的域名和子域都使用CDN来解析。

2、 关闭不必要的服务或端口

这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关闭不必要的服务或端口,在路由器上过滤假IP。

3、 购买高防提高承受能力

该措施是通过购买高防的盾机,提高服务器的带宽等资源,来提升自身的承受攻击能力。对于普通中小企业甚至不合适,且不被攻击时造成服务器资源闲置,所以这里不过多阐述。

4、 限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于防御DDoS攻击的效果不太明显了,不过仍然能够起到一定的作用。

5、 提供余量带宽

通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数。在购买带宽时确保有一定的余量带宽,可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

6、 高防CDN。

CDN的英文全名是内容分发网络。通过部署在网络上不同地方的边缘节点服务器,能够让用户以最短的距离和时间获得其需要的内容,从而避免单节点带来的网络拥堵和信息延迟。正是因为CDN在全网都能布置节点,并且可以隐藏原服务器IP地址的功能,CDN除了可以用来加速网络服务外,还能用来当高防服务器使用。相比临时租用高防带宽,高防CDN的价格比较便宜。

目前而言,DDoS攻击并没有一劳永逸的根治方法,做不到彻底杜绝和消灭,只能采取各种手段在一定程度上减缓攻击带来的伤害。所以平时服务器的运维工作还是要做好基本的保障。

为了更加精准有效地防御DDoS攻击,并降低用户的防御成本,亿速云为用户提供专业抗DDoS攻击的高防云服务器、高防香港服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势。采用“智能硬件防火墙 + 流量牵引技术”,并为用户配置相对应的高防IP,在用户面临DDoS攻击时,可精准识别出恶意流量,并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后,高防IP会将正常流量返回给源站IP,从而达到“防御DDoS攻击,保证用户网站正常稳定运行”的目的。