怎样预防ddos攻击,中小企业遭遇DDOS该如何缓解呢

这个问题得分两个场景来看网站备案怎样预防ddos攻击,即中小企业到底是使用公有云,还是使用私有云(或者自建服务器),不同的场景解决方案不一样怎样预防ddos攻击,中小企业遭遇DDOS该如何缓解呢首先解释一下什么叫做DDOS。DDOS又叫做分布式拒绝服务攻击,简单的解释一下就是互联网有很多肉鸡同时向你的服务器发动攻击,消耗服务器的有限资源,所以拒绝服务攻击实际上是对你服务器的资源的一个消耗性攻击举一个典型的例子,就是最常见的基于TCP的拒绝服务攻击。假设你公司的服务器对外提供WEB服务,WEB是基于80端口的TCP服务,而一台服务器所支持的TCP的连接性能是有限的,例如可以同时支持10万个TCP连接这时,攻击者从互联网控制1000台主机,每台主机向你发起100个TCP的80端口连接请求,然后不再响应服务器的回应,这时就会出现一个很奇怪的状态:你们公司服务器的10万个连接都被用了,但是这些都是没有后继过程的虚假连接。此时其他正常用户想看你们公司的网页,就会发现看不了,因为没有TCP资源了,这个就是拒绝服务攻击因此从原理上看其实比较明显,要挡住拒绝服务攻击,就要挡住这种虚假的情求和连接。例如采取1个IP只能有2个连接的限制,或者加快删除这种虚假的连接,或者对TCP过程进行序列号校验。这种能够挡住对端攻击的设备,叫做防火墙如果你使用公有云,那么你可用选择公有云上的服务,例如阿里云上就提供了对云服务器的安全保护功能。如果使用阿里云,你可用先评估你网站的安全风险,进行漏洞测试,然后你可用购买云防火墙来保护你的网站阿里云还支持高防IP清洗,这个道理也不难,实际上就是把你的流量先引到专业的DDOS清理集群,把你的网站流量先清洗一遍,把攻击的流量识别并删除后,再送回你真实的服务器,这样就保证服务器被攻击前,攻击流量已经洗掉了如果是企业自建的私有云或者仅仅是企业的单独的服务器需要保护,那就得买专门的Anti-DDoS防火墙。目前华为、山石、迈普、H3C都有这种防火墙设备,性能从百兆到万兆都有,价格也不贵。防止DDOS攻击是很成熟的技术,所有防火墙的标配DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。Raksmart确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDOS攻击的系统都没有及时打上补丁。Raksmart确保管理员对所有主机进行检查,而不仅针对关键主机。Raksmart确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Raksmart确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。数据包采用核心算法,精确算出数据包的危害性,有效防止连接耗尽,主动清除服务器上的残余连接。限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。Raksmart确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。Raksmart在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDOS攻击成功率很高,所以Raksmart每次定要认真检查特权端口和非特权端口。随着互联网的发展,越来越多的技术方案出现在我们的视线中。作为开发者、运维、架构师而言,绝大多数都听说过CDN也都在项目中引入了CDN技术。CDN本身是用来做分发网络的,说得通俗点就是将我们网站上的静态资源镜像一份存放在CDN各节点服务器上,不同地域的用户访问这些静态资源时能做到“就近读取”,从而加快网站响应及渲染速度。但因为CDN本身的特点(如:分布式、负载均衡等),使得CDN现在也作为网站上的一种防护手段,比如说我们利用CDN可以做到:隐藏源服务器IP;突破地域网络限制,如:假设源服是托管在电信机房的,当移动用户访问网站时可能较慢,但给网站加上CDN后,移动用户访问网站时速度上会有明显提升;CDN的分布式节点帮我们清洗了流量,达到了分流效果。所以有一种说法是CDN可以护DDoS攻击,其实这种说法也是有一定依据的。为啥这样说呢?想知道其中原委就得先弄清楚什么是DDoS。DDoS代表分布式拒绝服务,攻击者将很多台电脑集中起来,发出指令,让很多台电脑对同一个网站进行请求,一旦这些电脑数量众多,就很容易导致网站出现以下情况:服务器上行带宽占满;服务器CPU、内存占满;服务器忙于处理攻击源的请求,对于其它正常用户的请求无暇顾及。而CDN本身就是分式布的,所以是可以抗住一部分的DDoS攻击的,原因也很简单:不同地域发起攻击的电脑会就近读取CDN节点上的缓存数据,不会实时回源,所以源站压力得到缓解,此时攻击流量就分散掉了;CDN厂商对于节点服务器也做了防护措施,各节点服务器的带宽也绝对比我们源服务器带宽要大得多,攻击者攻击我们时,这些攻击流量是先到CDN节点服务器上的;我们可以设置缓存策略,这样可以减少回源频率。但是CDN是不能完全当成防护墙来使用的,对于大流量的DDoS,一般CDN厂商可能会要求你暂停使用CDN,改换高防IP或者让机房处理流量攻击。所以说CDN的使用只能在一定程度上帮我们减少DDoS攻击的影响,CDN只能防一些小流量的DDoS,对于那种百G以上的DDoS,CDN厂商是不乐意帮你护防的!以上就是我的观点,如果大家有不同看法,欢迎在下方评论区发表自己的观点 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/31139/