流量攻击是让运维头疼的一种方式快速备案快速备案网站被攻击防御,根据流量的大小,以及服务器是物理服务器还是云服务器有以下几个常用的方式:网站被攻击防御,网站被流量攻击要怎么解决该怎么预防1:针对某个端口的小流量攻击,主要是使用工具批量扫IP段的,比如常见的80,8080等端口,可以修改访问的端口,然后对于频繁访问的IP做一定限制,比如拉黑1小时等等2:大流量的攻击,如果物理服务器,可以跟机房联系,让加上防DDOS的防护墙,一般有软件和硬件不同的收费项目可供选择。如果服务器在云端,阿里云,腾讯云,这些可以让他们提供专业的支持服务,排查攻击方式和强度,根据情况购买他们的防DDOS的服务。3:如果是持续很长时间的攻击,可以尝试选择报警然后协助网警或者相关人员查到肉鸡对应的控制机。一般流量攻击都是大批肉鸡的同时访问造成,必然在肉鸡里面有监听的软件来监听并执行的程序,不过该方案会比较耗费时间。平时也可以维护备用服务器,一旦有问题且短时间无法处理掉,就可以启用备用服务器做好用户的平移工作。可以用云计算公司的具有抗D功能的CDN服务,很多云计算公司都有,一些CDN厂商也有这种服务。一、概述DDoS攻击是主要以带宽消耗为攻击特征的网络攻击手段,受攻击者一般很难独立防御,必须寻找第三方的DDoS防护服务来协助防御。目前市场上主要有两种防护方案,一种是基于CDN进行DDoS防御,简称高防CDN防护方案,另外一种是基于超大带宽及超大DDoS清洗能力的高防节点进行DDoS防御,简称高防IP防护方案。本文将对这两种方案的防护特点进行详细的分析及比较,具体见下文。二、高防CDN防护方案分析高防CDN防护方案(下称高防CDN)是利用分布足够多的CDN节点以及单CDN节点都具备一定的DDoS防护能力来实现DDoS防护的。一般来说,高防CDN厂商的CDN节点数量都大于50个,单CDN节点的DDoS防护能力都在20-100Gbps之间。高防CDN防护具备以下五个特点:网站加速能力较好:CDN节点一般会按省份按线路进行分布,业务流量一般会通过DNS智能解析来进行调度,用户可以通过最优的CDN节点来访问业务网站,CDN节点可以对业务网站中的静态资源进行加速,因此用户的访问时延会大大降低,体验会比较好。七层防护能力较好:由于CDN节点的主要功能就是进行七层的加速及转发,所以单CDN节点都有一定的处理能力,加上分布的节点很多,因此在针对URL的DDoS攻击时,流量会被DNS调度,分散到各个CDN节点,充分利用全网带宽实现有效的防护。无法防御针对性的DDoS攻击:由于高防CDN节点的防护能力一般在20-100Gbps之间,如果攻击者绑定HOST来指定节点进行攻击,或者针对各节点IP轮流发起攻击,只要攻击流量超过单CDN节点的防护能力,则会造成单CDN节点所有业务服务出现中断,如果攻击者针对CDN节点依次发起超大流量攻击,则会造成用户的业务在节点间不停地切换(单次切换时间大约在2-5分钟),甚至会导致整个服务出现中断。共享IP无法区分具体攻击:CDN节点一般都是采用共享IP段的方式来分配业务,一个IP可能会加载多个域名的业务,因此如果一个IP遭受DDoS攻击,由于无法区分攻击来自哪个域名业务,高防CDN厂商的一般做法是将IP相关的所有业务域名进行回源,此种方式会导致攻击流量直接牵引至源站,或者将源站暴露给攻击者,造成源站的安全风险急剧增加。支持隐藏源站:高防CDN对外暴露的是各节点的共享IP地址段,通过CDN节点IP实现对源站的业务转发,攻击者无法通过业务交互获取真实的用户源站,从而保障了源站的安全。三、高防IP防护方案分析高防IP防护方案(下称高防IP)是利用在各区域建设的超大带宽及防护能力的DDoS防护节点来实现DDoS防护的,一般来说,高防IP厂商在全国的防护节点数量为2-10个,单节点的DDoS防护能力一般在300-1000Gbps之间。高防IP防护具备以下三个特点:DDoS防护效果好:针对不同客户的需求,高防IP厂商一般提供一个或者多个高防节点来对客户业务进行防护,客户所有的流量都会收敛到高防节点,而高防节点一般都具备300-1000Gbps的防护能力,只要攻击流量小于节点的最大防护能力,节点都能轻松应对。网站加速能力稍弱:高防IP的节点一般在10个以内,无法像高防CDN一样,通过各省提供的CDN节点为网站加速,但是高防IP也可以提供多个大区节点,对业务的静态资源进行缓存加速及按照大区或线路进行DNS调度,可有效减少对源站带宽资源的使用,及实现按大区或线路近源访问的能力。支持隐藏源站:高防IP对外暴露的是各节点的独立高防IP,通过各高防节点的独立IP实现业务转发,攻击者无法通过业务交互获取真实的用户源站,从而保障了源站的安全。四、两种防护方案的比较及总结根据上述的比较结果来看,高防CDN的DDoS防护能力弱于高防IP,但网站加速能力占优,因此适用于对网站加速要求较高,DDoS防御要求小于100Gbps的用户,如大型门户网站等业务。而高防IP则适用于对网站加速要求不高,DDoS攻击威胁不明确,且与源站有频繁动态交互的用户,如游戏业务、互联网金融业务、小型推广网站、对外业务系统等。根据网堤安全自身防护业务攻击情况的分析,当前大部分的DDoS攻击基础处于300-400Gbps之间,下图为网堤安全某客户在接入一个月后的攻击趋势图:如上图所示,该客户在接入网堤平台后显示,每天都会遭受一到两次的DDoS攻击,攻击流量大部分处于300-400Gbps之间,且攻击都是针对IP发起的,如果高防CDN遇到此种攻击,由于单节点的防护能力不足,是无法进行有效防护的。特别是面对超大型的DDoS攻击,高防CDN显得更加无能为力。如网堤安全的某个客户在9月份遭受了单节点774.588Gbps的超大型DDoS攻击,正是因为网堤高防IP单节点有1T的超强防御能力,才能成功实现了防御,确保攻击期间该客户的业务正常运行,如下图所示:目前100Gbps以下的DDoS攻击已经甚少,且攻击流量还呈不断扩大的趋势,如要有效防护DDoS攻击,单节点的最大防护能力最为重要,只有单点防护能力足够,才能确保在遭受超大流量DDoS攻击时业务不受任何影响。因此在现今DDoS攻击的发展态势下,用户选择DDoS防护方案时,建议优先选择高防IP。
本文出自快速备案,转载时请注明出处及相应链接。