DDoS攻擊,又叫分布式拒絕服務(wù)攻擊,指借助于客戶/服務(wù)器技術(shù),將多個計算機(jī)聯(lián)合起來作為攻擊平臺,對一個或多個目標(biāo)發(fā)動DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。
防御DDOS是一個系統(tǒng)工程,攻擊花樣多,防御的成本高瓶頸多,防御起來即被動又無奈。DDOS的 特點(diǎn)是分布式,針對帶寬和服務(wù)攻擊,也就是四層流量攻擊和七層應(yīng)用攻擊,相應(yīng)的防御瓶頸四層在帶寬,七層的多在架構(gòu)的吞吐量。對于七層的應(yīng)用攻擊,我們還 是可以做一些配置來防御的,例如前端是Nginx,主要使用nginx的http_limit_conn和http_limit_req模塊來防御。 ngx_http_limit_conn_module 可以限制單個IP的連接數(shù),ngx_http_limit_req_module 可以限制單個IP每秒請求數(shù),通過限制連接數(shù)和請求數(shù)能相對有效的防御CC攻擊。
如果遭遇DDOS攻擊該如何應(yīng)對,或者如何預(yù)防?
1、大數(shù)據(jù)智能分析
黑客為了構(gòu)造大量的數(shù)據(jù)流,往往需要通過特定的工具來構(gòu)造請求數(shù)據(jù),這些數(shù)據(jù)包不具有正常用戶的一些行為和特征。為了對抗這種攻擊,可以基于對海量數(shù)據(jù)進(jìn)行分析,進(jìn)而對合法用戶進(jìn)行模型化,并利用這些指紋特征,如:Http模型特征、數(shù)據(jù)來源、請求源等,有效地對請求源進(jìn)行白名單過濾,從而實現(xiàn)對DDoS流量的精確清洗。
2、使用高防服務(wù)器
這個可能是比較簡便的方式,一般現(xiàn)在IDC服務(wù)商都提供高防服務(wù)器來幫助企業(yè)抵御各式各樣的流量攻擊,它的原理也是非常簡單,就是給服務(wù)器增加了一個防護(hù)層,面對攻擊的時候能夠抵擋住攻擊。一般來說,高防服務(wù)器都至少能夠抵擋五十G以上的攻擊,并且還能定期掃描節(jié)點(diǎn),是非常好的防護(hù)手段。
3.資源隔離
可以看作是用戶服務(wù)的一堵防護(hù)盾,這套防護(hù)系統(tǒng)擁有無比強(qiáng)大的數(shù)據(jù)和流量處理能力,為用戶過濾異常的流量和請求。如:針對Syn Flood,防護(hù)盾會響應(yīng)Syn Cookie或Syn Reset認(rèn)證,通過對數(shù)據(jù)源的認(rèn)證,過濾偽造源數(shù)據(jù)包或發(fā)功攻擊的攻擊,保護(hù)服務(wù)端不受惡意連接的侵蝕。資源隔離系統(tǒng)主要針對ISO模型的第三層和第四層進(jìn)行防護(hù)。
當(dāng)前題目:DDoS攻擊服務(wù)器最佳解決方案是什么?
新聞來源:http://muchs.cn/hangye/fwqtg/n7835.html
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)