企業抗D十招:防禦DDoS攻擊需要多管齊下(xià)

發布日期:2017-06-29首頁 > 安全資(zī)訊

20170628101547756.jpg
 


    企業抗D十招:防禦DDoS攻擊需要多管齊下(xià)。遭受DDoS攻擊是許多企業和站長的心頭之痛,網站無法提供正常服務,甚至直接從互聯網上消失。可以說,DDoS是目前最兇猛、最難防禦的網絡攻擊之一(yī)。

    現實情況是,這個世界級難題還沒有完美的、徹底的解決辦法,但采取适當的措施以降低攻擊帶來的影響、減少企業損失是十分(fēn)必要的。企業應當将DDoS防禦作爲整體(tǐ)安全策略的重要部分(fēn)來考慮,防禦DDoS攻擊與防數據洩露、防惡意植入、反病毒保護等安全措施同樣不可或缺。

    首先,防禦DDoS攻擊是一(yī)個系統化的工(gōng)程,僅僅依靠某種操作、某個服務就實現全壘打很傻很天真,就如同預防流行感冒一(yī)樣,既要穿着保暖,又(yòu)要注意飲食,還要加強鍛煉。根據攻擊流量大(dà)小(xiǎo)等實際情況靈活應對,采取多種組合,定制策略才能更好地實現防禦效果。畢竟,攻擊都流行走混合路線了,防禦怎麽還能一(yī)種功夫包打全能。

    其次,由于DDoS攻擊和防禦都面臨着成本開(kāi)支,當我(wǒ)們的防禦強度逐步增加,攻擊成本也對應上升,當大(dà)部分(fēn)攻擊者無法持續而選擇放(fàng)棄,那防禦就算成功了。也因此我(wǒ)們需要明白(bái),防禦措施、抗D服務等都隻是一(yī)種“緩解”療法,而不是一(yī)種“治愈”方案,我(wǒ)們談防禦是通過相應的舉措來減少DDoS攻擊對企業業務的影響,而不是徹底根除DDoS攻擊。
    \

    基于以上,我(wǒ)們将從三個方面(網絡設施、防禦方案、預防手段)來談談抵禦DDoS攻擊的一(yī)些基本措施、防禦思想及服務方案。

    一(yī).網絡設備設施

    網絡架構、設施設備是整個系統得以順暢運作的硬件基礎,用足夠的機器、容量去(qù)承受攻擊,充分(fēn)利用網絡設備保護網絡資(zī)源是一(yī)種較爲理想的應對策略,說到底攻防也是雙方資(zī)源的比拼,在它不斷訪問用戶、奪取用戶資(zī)源之時,自己的能量也在逐漸耗失。相應地,投入資(zī)金也不小(xiǎo),但網絡設施是一(yī)切防禦的基礎,企業需要根據自身情況做出平衡的選擇。

    1. 擴充帶寬硬抗

    網絡帶寬直接決定了承受攻擊的能力,國内大(dà)部分(fēn)網站帶寬規模在10M到100M,知(zhī)名企業帶寬能超過1G,超過100G的基本是專門做帶寬服務和抗攻擊服務的網站,數量屈指可數。但DDoS卻不同,攻擊者通過控制一(yī)些服務器、個人電(diàn)腦等成爲肉雞,如果控制1000台機器,每台帶寬爲10M,那麽攻擊者就有了10G的流量。當它們同時向某個網站發動攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護是理論最優解,隻要帶寬大(dà)于攻擊流量就不怕了,但成本也是企業難以承受之痛,國内非一(yī)線城市機房帶寬價格大(dà)約爲100元/M*月,買10G帶寬頂一(yī)下(xià)就是100萬,因此許多企業調侃拼帶寬就是拼人民币,以至于很少有企業願意花高價買大(dà)帶寬做防禦。

    2. 使用硬件防火(huǒ)牆

    許多企業會考慮使用硬件防火(huǒ)牆,針對DDoS攻擊和黑客入侵而設計的專業級防火(huǒ)牆通過對異常流量的清洗過濾,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果企業網站飽受流量攻擊的困擾,可以考慮将網站放(fàng)到DDoS硬件防火(huǒ)牆機房。但如果網站流量攻擊超出了硬防的防護範圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過高牆同樣抵擋不住。值得注意一(yī)下(xià),部分(fēn)硬件防火(huǒ)牆基于包過濾型防火(huǒ)牆修改爲主,隻在網絡層檢查數據包,若是DDoS攻擊上升到應用層,防禦能力就比較弱了。

    3. 選用高性能設備

    除了防火(huǒ)牆,服務器、路由器、交換機等網絡設備的性能也需要跟上,若是設備性能成爲瓶頸,即使帶寬充足也無能爲力。在有網絡帶寬保證的前提下(xià),請盡量提升硬件配置。
    \

    二、有效的抗D思想及方案

    硬碰硬的防禦偏于“魯莽”,通過架構布局、整合資(zī)源等方式提高網絡的負載能力、分(fēn)攤局部過載的流量,通過接入第三方服務識别并攔截惡意流量等等行爲就顯得更加“理智”,而且對抗效果良好。

    4. 負載均衡

    普通級别服務器處理數據的能力最多隻能答複每秒數十萬個鏈接請求,網絡處理能力很受限制。負載均衡建立在現有網絡結構之上,它提供了一(yī)種廉價有效透明的方法擴展網絡設備和服務器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性,對DDoS

    流量攻擊和CC攻擊都很見效。CC攻擊使服務器由于大(dà)量的網絡傳輸而過載,而通常這些網絡流量針對某一(yī)個頁面或一(yī)個鏈接而産生(shēng)。在企業網站加上負載均衡方案後,鏈接請求被均衡分(fēn)配到各個服務器上,減少單個服務器的負擔,整個服務器系統可以處理每秒上千萬甚至更多的服務請求,用戶訪問速度也會加快。
    \

    5. CDN流量清洗

    CDN是構建在網絡之上的内容分(fēn)發網絡,依靠部署在各地的邊緣服務器,通過中(zhōng)心平台的分(fēn)發、調度等功能模塊,使用戶就近獲取所需内容,降低網絡擁塞,提高用戶訪問響應速度和命中(zhōng)率,因此CDN加速也用到了負載均衡技術。相比高防硬件防火(huǒ)牆不可能扛下(xià)無限流量的限制,CDN則更加理智,多節點分(fēn)擔滲透流量,目前大(dà)部分(fēn)的CDN節點都有200G 的流量防護功能,再加上硬防的防護,可以說能應付目絕大(dà)多數的DDoS攻擊了。在CDN加速和流量清洗領域,知(zhī)道創宇具有豐富的技術積累和實戰經驗,旗下(xià)的抗D保通過部署騰訊宙斯盾流量清洗設備和知(zhī)道創宇祝融智能攻擊識别引擎,專注于特大(dà)流量DDoS攻擊防禦服務,最大(dà)防禦能力超過2TB。
    \

    6. 分(fēn)布式集群防禦

    分(fēn)布式集群防禦的特點是在每個節點服務器配置多個IP地址,并且每個節點能承受不低于10G的DDoS攻擊,如一(yī)個節點受攻擊無法提供服務,系統将會根據優先級設置自動切換另一(yī)個節點,并将攻擊者的數據包全部返回發送點,使攻擊源成爲癱瘓狀态,從更爲深度的安全防護角度去(qù)影響企業的安全執行決策。

    三.預防爲主保安全

    DDoS的發生(shēng)可能永遠都無法預知(zhī),而一(yī)來就兇猛如洪水決堤,因此網站的預防措施和應急預案就顯得尤爲重要。通過日常慣性的運維操作讓系統健壯穩固,沒有漏洞可鑽,降低脆弱服務被攻陷的可能,将攻擊帶來的損失降低到最小(xiǎo)。

    7. 篩查系統漏洞

    及早發現系統存在的攻擊漏洞,及時安裝系統補丁,對重要信息(如系統配置信息)建立和完善備份機制,對一(yī)些特權賬号(如管理員(yuán)賬号)的密碼謹慎設置,通過一(yī)系列的舉措可以把攻擊者的可乘之機降低到最小(xiǎo)。計算機緊急響應協調中(zhōng)心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。統計分(fēn)析顯示,許多攻擊者在對企業的攻擊中(zhōng)獲得很大(dà)成功,并不是因爲攻擊者的工(gōng)具和技術如何高級,而是因爲他們所攻擊的基礎架構本身就漏洞百出。
    \

    8. 系統資(zī)源優化

    合理優化系統,避免系統資(zī)源的浪費(fèi),盡可能減少計算機執行少的進程,更改工(gōng)作模式,删除不必要的中(zhōng)斷讓機器運行更有效,優化文件位置使數據讀寫更快,空出更多的系統資(zī)源供用戶支配,以及減少不必要的系統加載項及自啓動項,提高web服務器的負載能力。

    9. 過濾不必要的服務和端口

    就像防賊就要把多餘的門窗關好封住一(yī)樣,爲了減少攻擊者進入和利用已知(zhī)漏洞的機會,禁止未用的服務,将開(kāi)放(fàng)端口的數量最小(xiǎo)化就十分(fēn)重要。端口過濾模塊通過開(kāi)放(fàng)或關閉一(yī)些端口,允許用戶使用或禁止使用部分(fēn)服務,對數據包進行過濾,分(fēn)析端口,判斷是否爲允許數據通信的端口,然後做相應的處理。

    10. 限制特定的流量

    檢查訪問來源并做适當的限制,以防止異常、惡意的流量來襲,限制特定的流量,主動保護網站安全。
    \

    對抗DDoS攻擊是一(yī)個涉及很多層面的問題,抗D需要的不僅僅是一(yī)個防禦方案,一(yī)個設備,而是一(yī)個能制動的團隊,一(yī)個有效的機制。我(wǒ)們都聽(tīng)過一(yī)句話(huà)——god helps those who help themselves. 天助自助者,因此面對攻擊,大(dà)家需要具備安全意識,完善自身的安全防護體(tǐ)系才是正解。

    随着互聯網業務的越發豐富,可以預見DDoS攻擊還會大(dà)幅度增長,攻擊手段也會越來越複雜(zá)多樣。安全是一(yī)項長期持續性的工(gōng)作,需要時刻保持一(yī)種警覺,更需要全社會的共同努力。