0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

火伞云DDOS防御,阻止DDoS攻击的15个独家技巧

jf_38184196 来源:jf_38184196 作者:jf_38184196 2023-07-12 15:29 次阅读

DDoS攻击可以使企业完全宕机数小时以上,而宕机的后果可能很严重,各种规模的企业和政府都可能受到影响。2021年,由于系统中断一小时导致销售额大幅下降,亚马逊为此遭受了约3400万美元的直接财务损失。而随后由于Fakebook的服务中断,影响到了Meta的直接收入达到了近1亿美元。

因此几乎每个有在线业务的企业都需要衡量其在网站防护上面所需要的花费及其投资回报率,怎样用最合理的成本来进行最大化的攻击防护是每个企业需要考虑的很重要的问题。

火伞云为大家分享阻止DDoS攻击的15个独家技巧,希望可以帮助大家更有效的阻止DDoS攻击:

1.建立多层DDoS防护体系

当前的DDoS攻击模式已经与5-10年前有很大的不同。早期的DDoS攻击主要集中在第3层或第4层(协议和传输层)的容量攻击。如今DDoS攻击有许多不同的类型,每种类型都针对不同的层(网络层、传输层、会话层、应用层)或多层攻击组合。

此外,攻击者正在寻找使网站无法访问合法流量的新方法和利用漏洞的致命方法,从而策划高度复杂的攻击。在这种情况下,无法通过简单地增加网络带宽或使用传统防火墙来阻止DDoS攻击。您需要一个全面的、多模块的、多层次的DDoS防护方案来规避各种攻击,包括应用层DDoS攻击。

因此您的解决方案必须具有可扩展性,并具有内置冗余、流量监控功能、业务逻辑缺陷检测和漏洞管理功能。

2.避免成为肉鸡

攻击者使用的一种常见策略是DDoS僵尸网络,这是一个由远程控制的受感染设备组成的网络,可向目标发送大量流量。假设您的机器因DDoS攻击而关闭,可能系统会遭到破坏并被用作肉鸡。

为了避免成为肉鸡,必须做好对应的防范:

让您的设备和软件保持最新

使用强而独特的密码

小心可疑的电子邮件和附件

使用信誉良好的反恶意软件解决方案

使用信誉良好的VPN

3.识别攻击类型

通过了解每种攻击类型的特征并快速识别它们,DDoS 保护程序可以实时响应,在攻击造成重大损害之前有效地缓解攻击。识别攻击类型允许更有针对性和有效的防御机制,例如过滤特定流量或阻止恶意 IP 地址。此外及早识别攻击类型有助于预测和预防未来的攻击并改善整体安全态势,因此在攻击者发动攻击之前就识别攻击类型的能力是DDoS保护程序不可或缺的一部分。

一般来说企业可能会遇到三种常见的DDoS攻击类型:

a.应用层(L7)攻击或HTTP泛洪攻击

这种应用层攻击针对具有来自多个来源的请求的应用程序。此类攻击会生成大量POST、GET或HTTP请求,导致服务停机数小时至数周不等。由于成本低且易于操作,应用层攻击被广泛用于电子商务、银行和创业网站等。

b.UDP放大攻击

攻击者使用开放的NTP请求流量以阻塞目标服务器或网络。L3/L4(网络或传输)上的这种流量随着有效负载流量而增强,并且与请求大小相比是巨大的,因此会使服务不堪重负而宕机。

c.DNS泛洪攻击

DNS泛洪是针对将域名转换为IP地址的DNS(域名系统)服务器的DDoS攻击。这种攻击旨在通过大流量淹没DNS服务器,使合法用户无法访问目标网站或在线服务。

4.创建DDoS攻击威胁模型

DDoS攻击威胁模型是一种结构化方法,用于识别和分析DDoS攻击给您的在线服务或网站带来的潜在风险。

大多数互联网企业都在努力处理网络资源库存,以跟上不断增长的增长和客户需求。新的门户网站、支付网关、应用系统、营销领域和其他资源经常被不断创建和淘汰。

而您的网络资源是否管理有序井井有条?火伞云有以下建议:

确定您想要保护的资产——创建一个数据库,其中包含您想要防止DDoS攻击的所有Web资产,作为清单。它应该包含网络详细信息、正在使用的协议、域、应用程序的数量、它们的使用、最后更新的版本等。

定义潜在的攻击者——定义可能以您的资产为目标的潜在攻击者,例如网络黑客、竞争对手或民族国家行为者。

确定攻击向量——确定攻击者可以用来发起DDoS攻击的各种攻击向量,如UDP泛洪、SYN泛洪或HTTP 泛洪。

确定攻击面——确定资产的攻击面,包括网络拓扑、硬件基础设施和软件堆栈。

评估风险级别——通过评估攻击发生的概率、攻击的潜在影响以及检测和缓解攻击的可能性来评估每个攻击向量的风险级别。

5.设置网络资源优先级

所有的网络资源都是平等的还是您希望首先保护哪些资源?

从指定Web资源的优先级和重要性开始。例如以业务和数据为中心的Web资产应置于具有24h*7dd DDoS关键保护之下。

比如火伞云通常设置三个等级的网络资源:

关键:放置所有可能危及商业交易或您的声誉的资产,黑客通常有更高的动机首先针对这些资源。

高:此等级应包括可能妨碍日常业务运营的Web资产。

正常:此处包含其他所有内容。

废置:可以为不再使用的域、网络、应用程序和其他服务创建新的分类并尽快将其移出业务运营网络。

6.减少攻击面暴露

通过减少暴露给攻击者的面,可以最大限度地减少他们编排DDoS攻击的范围/选项。

因此,请保护您的关键资产、应用程序和其他资源、端口、协议、服务器和其他入口点,以免直接暴露给攻击者。

有许多策略可用于最小化攻击面暴露:

a.您可以在网络中分离和分配资产,使其更难成为目标。例如,您可以将Web服务器放在公共子网中,但底层数据库服务器应位于私有子网中。此外您可以限制从您的Web服务器访问数据库服务器,而不是其他主机。

b.对于可通过Internet访问的站点,您也可以通过限制访问用户所在国家/地区的流量来减少表面积。

c.利用负载均衡器保护Web服务器和计算资源免受暴露,方法是将它们置于其后。

d.通过删除任何不相关/不相关的服务、不必要的功能、遗留系统/流程等,保持应用程序/网站清洁,攻击者经常利用这些作为切入点。

7.强化网络架构

关键的DDoS保护最佳实践之一是使基础设施和网络能够处理任何雷鸣般的浪涌或流量突然激增。通常建议购买更多带宽作为一种选择。然而,因为巨大的成本导致这不是一个实用的解决方案。火伞云建议大家可以加入弹性的CDN服务来帮助您利用全球分散的网络并构建能够处理突发流量高峰的冗余资源。

8.了解警告标志

DDoS攻击包括一些很明显的网络症状。比如一些常见的DDoS攻击症状是Internet上的连接不稳定、网站间歇性关闭和Internet断开连接。如果这些问题比较严重和持续时间较长,则您的网络很可能受到DDoS攻击,您必须采取适当的DDoS攻击防范措施。

以下是您可能受到分布式拒绝服务 (DDoS) 攻击的一些警告信号

异常高的流量

缓慢或无响应的网站

网络连接问题

不寻常的交通模式

意外的服务器错误

资源使用异常激增

9.黑洞路由

黑洞路由是一种用于通过在恶意流量到达目标网络或服务器之前丢弃恶意流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到将路由器或交换机配置为将流量发送到一个空接口,即“黑洞”,从而有效地减少流量。黑洞路由通常用于阻止来自被识别为攻击源的特定IP地址或子网的流量。

虽然黑洞路由是一种被动措施,但它可以有效地减轻DDoS攻击的影响。但需要注意的是,黑洞路由应与其他主动步骤一起使用,以防止DDoS攻击。

10.速率限制

速率限制是一种用于通过限制发送到网络或服务器的流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到限制在指定的时间范围内可以进行的请求或连接的数量。

当达到限制时,多余的流量会被丢弃或延迟。速率限制可以在各种级别上实现,例如在网络、应用程序或DNS层上。通过限制可以发送到网络或服务器的流量,速率限制有助于防止可能导致DDoS攻击的资源过载。但是谨慎配置速率限制以避免阻塞合法流量是很重要的。

基于地理的访问限制、基于信誉评分的访问限制等基于实时见解的措施在预防DDoS攻击方面发挥了很大作用。

11.日志监测与分析

您可能想知道如何通过日志监控来阻止DDoS攻击。快速检测威胁是DDoS保护的最佳做法之一,因为它们提供了有关您的网络流量的数据和统计数据。日志文件包含具有充足信息的数据,可有效地实时检测威胁。使用日志分析工具检测DDoS威胁还有其他好处,如使DDoS补救过程快速而简单。在列出您的网站时,流量统计数据会显示流量激增的日期和时间,以及哪些服务器受到了攻击的影响。

日志分析可以通过预先通知不需要的事件的状态来减少故障排除时间,从而为您节省时间。一些智能日志管理工具还提供了快速补救和减轻成功DDoS攻击造成的损害所需的信息。

12.制定DDoS抵御计划

抵御DDoS攻击并不会限制预防和缓解,由于DDoS攻击旨在关闭您的完整操作,因此大多数DDoS保护技术都与打击攻击有关。

将灾难恢复规划实践作为定期运营维护的一部分,该计划应侧重于技术能力和全面的计划,该计划概述了如何在成功的DDoS攻击的压力下确保业务连续性。灾难恢复站点必须是恢复计划的一部分。作为临时站点的DR站点应具有您的数据的当前备份。恢复计划还应包括关键细节,如恢复方法、关键数据备份的维护位置以及谁负责哪些任务。

13.获取DDoS防护工具

如今市场上充斥着帮助您检测和保护关键网络资源免受DDoS攻击的工具。这些工具属于不同的类别——检测和缓解。

攻击检测

无论攻击的层次如何,缓解措施都取决于你在虚假流量激增造成严重破坏之前检测到它们的能力。大多数DDoS保护工具都依赖于签名和源详细信息来警告您。它们依赖于达到临界质量的流量,这会影响服务的可用性。然而,仅检测是不够的,需要手动干预来查看数据并应用保护规则。

自动缓解

DDoS保护是否可以自动化?许多防DDoS解决方案基于预先配置的规则和策略来引导或阻止虚假流量。

虽然在应用程序或网络层上自动过滤不良流量是可取的,但攻击者已经找到了击败这些策略的新方法,尤其是在应用程序层。

14.降低对传统防火墙的依赖

尽管传统防火墙具有内置的抗DDoS功能,但它们只有一种DDoS阻止方法——不分青红皂白的阈值做法,即在达到最大阈值限制时阻止特定端口,所以传统防火墙在DDoS保护中经常失败。

15.部署Web应用程序防火墙

Web应用程序防火墙(WAF)是抵御所有DDoS攻击的绝佳防御措施。它阻止恶意流量试图阻止应用程序中的漏洞。火伞云WAF通过安全专家的全天候监控支持DDoS保护解决方案,以识别虚假流量激增并在不影响合法流量的情况下阻止它们。

您可以在互联网和原始服务器之间放置WAF。WAF可以充当反向代理,通过让客户端在到达服务器之前通过它们来保护服务器不被暴露。

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • DDoS
    +关注

    关注

    3

    文章

    169

    浏览量

    23035
  • 防火墙
    +关注

    关注

    0

    文章

    416

    浏览量

    35588
收藏 人收藏

    评论

    相关推荐

    服务器ddos拥堵怎么解决?学会这7招

    服务器遭受DDoS攻击导致拥堵时,企业需迅速采取应对措施。首先,联系ISP获取支持;其次,利用代理服务器或CDN分散流量压力;部署防火墙等网络安全工具阻止恶意流量;采用专业
    的头像 发表于 11-08 10:49 124次阅读

    DDoS服务器攻击是怎么回事?

    DDoS服务器攻击是一种通过大量合法或非法的请求拥塞服务器资源,导致正常用户无法访问服务的网络攻击方式。主机小编推荐下面将详细探讨DDoS服务器攻击
    的头像 发表于 11-05 11:03 102次阅读

    DDoS对策是什么?详细解说DDoS攻击难以防御的理由和对策方法

    攻击规模逐年增加的DDoS攻击。据相关调查介绍,2023年最大的攻击甚至达到了700Gbps。 为了抑制DDoS
    的头像 发表于 09-06 16:08 277次阅读

    cdn为什么能防止ddos攻击呢?

    Cdn技术的发展相当速度,除了可以为网页进行简单的提速外,还可以更好的保护网站安全的运行。也就是保护它不被黑客的攻击。但很多人对它能抵抗ddos攻击,并不是特别了解。那么抗攻击cdn为
    的头像 发表于 09-04 11:59 146次阅读

    DDoS是什么?遇到后有哪些解决方法?

    随着网际网络的发达,DDos攻击手法也变得越来越多元且难以防范,尤其官方网站、线上交易平台、使用者登入页面皆為攻击者之首选目标,DDos攻击
    的头像 发表于 08-30 13:03 241次阅读
    <b class='flag-5'>DDoS</b>是什么?遇到后有哪些解决方法?

    Steam历史罕见大崩溃!近60僵尸网络,DDoS攻击暴涨2万倍

    火伞 8 月 27 日消息,8 月 24 日晚间,全球知名游戏平台Steam遭遇严重DDoS攻击,导致大量用户无法登录或玩游戏,话题“steam崩了”迅速登上微博热搜。据安全机构奇安
    的头像 发表于 08-27 10:44 250次阅读
    Steam历史罕见大崩溃!近60<b class='flag-5'>个</b>僵尸网络,<b class='flag-5'>DDoS</b><b class='flag-5'>攻击</b>暴涨2万倍

    ddos造成服务器瘫痪后怎么办

    在服务器遭受DDoS攻击后,应立即采取相应措施,包括加强服务器安全、使用CDN和DDoS防御服务来减轻攻击的影响。rak小编为您整理发布
    的头像 发表于 08-15 10:08 245次阅读

    服务器被ddos攻击多久能恢复?具体怎么操作

    服务器被ddos攻击多久能恢复?如果防御措施得当,可能几分钟至几小时内就能缓解;若未采取预防措施或攻击特别猛烈,则可能需要几小时甚至几天才能完全恢复。服务器被
    的头像 发表于 08-13 09:56 397次阅读

    微软Azure全球瘫痪事件:因DDoS“防卫过当”,为网络安全敲响警钟

    提供服务。有安全研究机构透露,黑客组织如SN_blackmeta等可能参与了此次攻击。这些黑客组织具备对大型服务提供商发动大规模DDoS攻击的能力。 微软在声明中提到,虽然
    的头像 发表于 08-09 10:34 456次阅读

    香港高防服务器是如何防ddos攻击

    香港高防服务器,作为抵御分布式拒绝服务(DDoS)攻击的前沿阵地,其防御机制结合了硬件、软件和网络架构的多重策略,为在线业务提供了坚实的保护屏障。以下是对香港高防服务器防御
    的头像 发表于 07-18 10:06 225次阅读

    DDoS有哪些攻击手段?

    DDoS攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当
    的头像 发表于 06-14 15:07 383次阅读

    高防CDN是如何应对DDoS和CC攻击

    高防CDN(内容分发网络)主要通过分布式的网络架构来帮助网站抵御DDoS(分布式拒绝服务)和CC(挑战碰撞)攻击。 下面是高防CDN如何应对这些攻击的详细描述: 1. DDoS
    的头像 发表于 06-07 14:29 295次阅读

    DDoS攻击规模最大的一次

    有史以来DDoS攻击规模最大的是哪一次? Google Cloud团队在2017年9月披露了一次此前未公开的DDoS攻击,其流量达 2.54Tbps,是迄今为止有记录以来最大的
    的头像 发表于 01-18 15:39 434次阅读

    DDoS攻击的多种方式

    DDOS攻击指分布式拒绝服务攻击,即处于不同位置的多个攻击者同时向一或数个目标发动攻击,或者一
    的头像 发表于 01-12 16:17 573次阅读

    DDoS 攻击解析和保护商业应用程序的防护技术

    选择正确的DDoS高防方案对于加固DDoS攻击至关重要,同时亦可确保业务资产的安全并维持在受保护的状态。通过将不同的服务进行搭配或混合,并将防护模型与业务需求结合,客户将能够为所有的资产实现高质量、经济高效的保护。
    的头像 发表于 01-08 15:02 381次阅读
    <b class='flag-5'>DDoS</b> <b class='flag-5'>攻击</b>解析和保护商业应用程序的防护技术