您的位置: 新闻资讯 > 行业动态 > 正文

如何防御各种类型的DDoS攻击?

来源:无敌防护 2019-12-27 16:56:02

DDoS攻击是最常见的网络攻击类型,其攻击成本很低,攻击力却很强,能够大规模消耗目标网站的主机资源,让它无法正常服务,另很多互联网企业非常害怕。
DDoS的攻击方式有很多种,最常见的就是利用大量僵尸网络模拟真实流量访问服务器,从而占用服务器资源和带宽拥堵,导致正常用户无法访问。现在DDoS攻击大多数是复合式攻击,越来越复杂化,不同攻击方式对应的防御措施也不一样。本文小墨给大家分享一下不同类型的DDoS攻击对应的防御措施。

一、按攻击流量规模分类

1、较小流量

小于1000Mbps攻击流量的DDoS攻击,一般只会造成小幅度延迟和卡顿,并不是很不影响线上业务的正常运行,可以利用iptables或者DDoS防护应用实现软件层的DDoS防护。

2、大型流量

大于1000Mbps攻击流量的DDoS攻击,可以利用iptables或者DDoS防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer。

3、超大规模流量

超大规模的DDoS攻击流量通过上述方法也起不到多大作用,只能通过专业的网络安全公司接入DDoS高防服务,隐藏服务器源IP,将攻击流量引流到高防IP,对恶意攻击流量进行智能清洗,阻拦漏洞攻击、网页篡改、恶意扫描等黑客行为,保障网站的安全与可用性。

二、按攻击流量协议分类

1、syn/fin/ack等tcp协议包

设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。

2、UDP/DNS query等UDP协议包

对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

3、http flood/CC等需要跟数据库交互的攻击

这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数,因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。

4、其他

icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

这几年,5G网络和智能物联网设备的逐渐普及,随之而来的是DDoS攻击的爆发式增长,DDoS攻击的规模和造成的危害也越来越大。DDoS攻击对互联网线上业务的影响极大,因为网络攻击导致用户体验极差,肯能导致互联网平台口碑变差甚至直接导致很多用户流失。所以互联网必须清楚网络安全的重要性,做好必要的DDoS高防措施,建议接入墨者盾高防,通过最新指纹识别系统对恶意攻击流量进行流量清洗,降低网络攻击风险,保障服务器稳定运行。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDOS攻击防御。

热门文章

X

7x24 小时

免费客服热线

400-0797-119