摘要:另外��,通過縮短半連接的時間也能有效防止攻擊�����,系統(tǒng)監(jiān)控能夠通過自主設置的閾值發(fā)送報警�,對系統(tǒng)情況進行整體的把控�����。
提到 DDoS 攻擊�,很多人不會陌生。上周��,美國當?shù)貢r間 12 月 29 日,專用虛擬服務器提供商 Linode 遭到 DDoS 攻擊�,直接影響其 Web 服務器的訪問,其中 API 調用和管理功能受到嚴重影響�����,在被攻擊的一周之內仍有部分功能不可用����,嚴重影響其業(yè)務和成千上萬使用 Linode 服務的用戶。
什么是 DDoS 攻擊�?
DDoS,即分布式拒絕服務(Distributed Denial of Service)攻擊��,指借助于客戶/服務器技術��,將多個計算機聯(lián)合起來作為攻擊平臺����,對一個或多個目標發(fā)動攻擊�����,從而成倍地提高拒絕服務攻擊的威力���。
DDoS 的攻擊方式有很多種�����,最基本的 DDoS 攻擊就是利用合理的服務請求來占用過多的服務資源��,從而使合法用戶無法得到服務的響應���。單一的 DoS 攻擊一般是采用一對一方式���,當攻擊目標 CPU 速度低、內存小或者網絡帶寬小等各項指標值不高時�,它的效果是明顯的。隨著計算機與網絡技術的發(fā)展����,計算機的處理能力迅速增長,內存大大增加��,同時也出現(xiàn)了千兆級別的網絡��,這使得 DoS 攻擊的困難程度加大了——目標對惡意攻擊包的消化能力加強了不少����。這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生���。DDoS 就是利用更多的傀儡機來發(fā)起進攻,以比從前更大的規(guī)模來進攻受害者���。
據(jù)統(tǒng)計���,2015 年針對企業(yè)的 DDoS 攻擊持續(xù)增長,根據(jù) Akamai 的調查報告���,2015 年 DDoS 攻擊增長了史無前例的 180% ����!對于本次事件的 Linode 來說�����,早在 2013 年�����,Linode 就曾受到過大規(guī)模的 DDoS 攻擊�。面對 DDoS 這樣的周期性挑釁,我們應該找出被攻擊的原因��,建立有效的防御體系來抵御攻擊�����。
防止 DDoS 攻擊的方式
1.減少公開暴露
之前曝光的的 Booter 網站或者是臭名昭著的 LizardSquad 旗下站 LizardStresser����,都提供付費 DDoS 攻擊某一目標的服務,而且這些網站都會將攻擊偽裝成合法的載入測試來進行攻擊�����。這個黑客組織在 2014 年的圣誕節(jié)期間利用 DDoS 攻擊了微軟的 Xbox Live 和索尼的 PSN 網絡�,令許多玩家很長時間無法正常娛樂。
對于企業(yè)來說�����,減少公開暴露是防御 DDoS 攻擊的有效方式��,對 PSN 網絡設置安全群組和私有網絡��,及時關閉不必要的服務等方式���,能夠有效防御網絡黑客對于系統(tǒng)的窺探和入侵���。具體措施包括禁止對主機的非開放服務的訪問��,限制同時打開的 SYN 最大連接數(shù)�,限制特定 IP 地址的訪問����,啟用防火墻的防 DDoS 的屬性等。
(圖片來源:OneRASP)
2.利用擴展和冗余
DDoS 攻擊針對不同協(xié)議層有不同的攻擊方式����,因此我們必須采取多重防護措施。利用擴展和冗余可以防患于未然��,保證系統(tǒng)具有一定的彈性和可擴展性��,確保在 DDoS 攻擊期間可以按需使用���,尤其是系統(tǒng)在多個地理區(qū)域同時運行的情況下�。任何運行在云中的虛擬機實例都需要保證網絡資源可用���。
微軟針對所有的 Azure 提供了域名系統(tǒng)(DNS)和網絡負載均衡,Rackspace 提供了控制流量流的專屬云負載均衡。結合 CDN 系統(tǒng)通過多個節(jié)點分散流量�����,避免流量過度集中��,還能做到按需緩存��,使系統(tǒng)不易遭受 DDoS 攻擊�����。
3.充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力��,假若僅僅有 10M 帶寬的話�,無論采取什么措施都很難對抗當今的 SYNFlood 攻擊,至少要選擇 100M 的共享帶寬����,最好的當然是掛在1000M 的主干上了。但需要注意的是��,主機上的網卡是 1000M 的并不意味著它的網絡帶寬就是千兆的����,若把它接在 100M 的交換機上���,它的實際帶寬不會超過 100M,再就是接在 100M 的帶寬上也不等于就有了百兆的帶寬����,因為網絡服務商很可能會在交換機上限制實際帶寬為 10M,這點一定要搞清楚�����。
4.分布式服務拒絕 DDoS 攻擊
所謂分布式資源共享服務器就是指數(shù)據(jù)和程序可以不位于一個服務器上�����,而是分散到多個服務器����。分布式有利于任務在整個計算機系統(tǒng)上進行分配與優(yōu)化,克服了傳統(tǒng)集中式系統(tǒng)會導致中心主機資源緊張與響應瓶頸的缺陷����,分布式數(shù)據(jù)中心規(guī)模越大,越有可能分散 DDoS 攻擊的流量���,防御攻擊也更加容易����。
5.實時監(jiān)控系統(tǒng)性能
除了以上這些措施���,對于系統(tǒng)性能的實時監(jiān)控也是預防 DDoS 攻擊的重要方式����。不合理的 DNS 服務器配置也會導致系統(tǒng)易受 DDoS 攻擊����,系統(tǒng)監(jiān)控能夠實時監(jiān)控系統(tǒng)可用性、API�����、CDN 以及 DNS 等第三方服務商性能����,監(jiān)控網絡節(jié)點,清查可能存在的安全隱患����,對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬���,是黑客利用的最佳位置�����,因此對這些主機加強監(jiān)控是非常重要的�。
另外,通過縮短 SYN 半連接的 time out 時間也能有效防止 DDoS 攻擊����,系統(tǒng)監(jiān)控能夠通過自主設置的 Time out 閾值發(fā)送報警,對系統(tǒng)情況進行整體的把控�。
(圖片來源:Cloud Test)
Cloud Test?是基于云技術的實時監(jiān)控系統(tǒng),能夠幫大家實時監(jiān)控網站性能�,監(jiān)控CDN、DNS����、API等第三方服務提供商的可用性,實現(xiàn)應用性能及時監(jiān)測及時報警����。想閱讀更多技術文章,請訪問?OneAPM?官方技術博客��。
本文轉自 OneAPM 官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://systransis.cn/yun/11151.html
