服務器防攻擊-DDoS防護技術(shù)和軟硬件的解決方案

什么是 DDoS？DDoS 代表“分布式拒絕服務”?！?DDoS 攻擊是惡意嘗試使服務器或網(wǎng)絡資源對用戶不可用，通常是通過暫時中斷或暫停連接到 Internet 的主機的服務。與拒絕服務 (DoS) 攻擊（其中使用一臺計算機和一個 Internet 連接用數(shù)據(jù)包淹沒目標資源）不同，DDoS 攻擊使用多臺計算機和許多 Internet 連接，這些連接通常分布在全球范圍內(nèi)，稱為僵尸網(wǎng)絡。

Anti-DDoS?防護技術(shù)

DDoS 攻擊主要有 3 種類型，每種類型都有自己獨特的保護策略和工具：

基于卷的攻擊：基于容量的攻擊會產(chǎn)生大量的網(wǎng)絡級請求，使網(wǎng)絡設備或服務器不堪重負。這些可能包括UDP 泛洪、ICMP 泛洪和其他使用欺騙網(wǎng)絡數(shù)據(jù)包的攻擊。為了防止基于流量的攻擊，反 DDoS 提供商執(zhí)行大規(guī)?！扒謇怼?，使用云服務器檢查流量，丟棄惡意請求并讓合法請求通過。這種方法可以應對大規(guī)模、數(shù) GB 的 DDoS 攻擊。這也稱為 DDoS 通縮。

協(xié)議攻擊：協(xié)議攻擊會生成利用網(wǎng)絡協(xié)議弱點的請求。其中包括SYN 泛洪、碎片化數(shù)據(jù)包和Ping of Death。為了防止協(xié)議攻擊，反 DDoS 工具通過在不良流量到達您的站點之前阻止它來減輕協(xié)議攻擊。高級解決方案可以分析流量并將合法用戶與惡意、自動化的客戶端和機器人區(qū)分開來。

應用層攻擊：在應用層攻擊中，攻擊者向 Web 應用程序或其他軟件應用程序生成大量請求，這些請求似乎來自合法用戶。其中包括 GET/POST 泛洪、低速攻擊或針對 Apache 或 Windows漏洞的特定攻擊。為了防止應用層攻擊，反 DDoS 系統(tǒng)會監(jiān)控站點訪問者的行為，阻止負責應用層攻擊的惡意機器人，并使用多種機制（例如 JavaScript 測試、cookie 挑戰(zhàn)和CAPTHA）挑戰(zhàn)無法識別的訪問者。

防 DDoS 軟件解決方案

Anti-DDoS 軟件在現(xiàn)有硬件上運行，分析并過濾掉惡意流量。通常，Anti-DDoS 軟件比基于硬件的解決方案更具成本效益且更易于管理。但是，基于軟件和腳本的解決方案只能提供部分 DDoS 攻擊保護，容易出現(xiàn)誤報，并且無助于緩解基于數(shù)量的 DDoS 攻擊。本地安裝的軟件比設備或基于云的解決方案更容易不堪重負，后者在面對大型攻擊時更具可擴展性。

防DDoS防火墻

DDoS 攻擊試圖通過用大量看似合法的請求淹沒服務器/防火墻來壓倒它。傳統(tǒng)防火墻難以有效攔截DDoS攻擊，往往自身成為海量請求的瓶頸，使攻擊更加嚴重。傳統(tǒng)防火墻的一些弱點可以通過調(diào)整網(wǎng)絡拓撲結(jié)構(gòu)以及優(yōu)化防火墻和入侵防御/檢測系統(tǒng)(IPS/IDS) 的部署和配置來緩解。但即使是最佳的防火墻部署和配置也無法消除 DDoS 損害，尤其是在應用層攻擊場景中。

Web 應用程序防火墻 (WAF) 可以充當反 DDoS 防火墻，可以智能地清除不良請求，是 DDoS 保護的有效且經(jīng)濟的替代方案。WAF 通常部署在云中，通過發(fā)送 cookie 或其他響應來響應可疑的應用程序請求——在允許訪問系統(tǒng)之前確保用戶是真實的并且請求是有效的。

防DDoS硬件解決方案

防 DDoS 硬件是潛在攻擊者和您的網(wǎng)絡之間的物理保護層。盡管抗 DDoS 硬件可以防止某些類型的攻擊，但其他類型（如 DNS 攻擊）完全不受硬件影響，因為損壞甚至在流量到達設備之前就已完成。硬件保護可能很昂貴。除了硬件本身的資本支出外，維護、安置和運行設備所需的設施和熟練人力還需要大量運營費用。額外的成本是設備折舊和升級。

防DDoS托管

降低 DDoS 攻擊風險的一種常見方法是與支持 DDoS 的托管服務提供商簽訂合同，該提供商已經(jīng)擁有在發(fā)生 DDoS 攻擊時吸收不良流量所需的設備。但是，Anti-DDoS 托管的效率有限，并且比傳統(tǒng)托管成本高得多。在 Anti-DDoS 托管生態(tài)圈中，網(wǎng)站所有者通常有兩種選擇：

專用托管——往往非常昂貴，而且不靈活/可擴展。 租用主機——既昂貴又受主機提供商的總?cè)萘亢椭鳈C計劃的特定容量的限制。

但是，這兩個選項都沒有提供智能應用層DDoS 緩解。此外，Anti-DDoS 托管的成本效益低于其他選項，因為吸收 DDoS 流量是有代價的，并且不提供基于智能行為/簽名的識別。在典型的 Anti-DDoS 托管場景中，網(wǎng)站所有者會持續(xù)為用于吸收潛在攻擊的帶寬付費——即使沒有此類攻擊正在進行。一個更具成本效益和靈活性的選擇是識別攻擊，并按需擴展以響應它們。

本文標題：服務器防攻擊-DDoS防護技術(shù)和軟硬件的解決方案
路徑分享：http://www.muchs.cn/news16/315366.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設計、服務器托管、網(wǎng)站內(nèi)鏈、營銷型網(wǎng)站建設、微信公眾號、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)