如何防御各种类型的DDoS攻击?
来源:无敌防护 2019-12-27 16:56:02DDoS攻击是最常见的网络攻击类型,其攻击成本很低,攻击力却很强,能够大规模消耗目标网站的主机资源,让它无法正常服务,另很多互联网企业非常害怕。
DDoS的攻击方式有很多种,最常见的就是利用大量僵尸网络模拟真实流量访问服务器,从而占用服务器资源和带宽拥堵,导致正常用户无法访问。现在DDoS攻击大多数是复合式攻击,越来越复杂化,不同攻击方式对应的防御措施也不一样。本文小墨给大家分享一下不同类型的DDoS攻击对应的防御措施。
1、较小流量
小于1000Mbps攻击流量的DDoS攻击,一般只会造成小幅度延迟和卡顿,并不是很不影响线上业务的正常运行,可以利用iptables或者DDoS防护应用实现软件层的DDoS防护。
2、大型流量
大于1000Mbps攻击流量的DDoS攻击,可以利用iptables或者DDoS防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer。
3、超大规模流量
超大规模的DDoS攻击流量通过上述方法也起不到多大作用,只能通过专业的网络安全公司接入DDoS高防服务,隐藏服务器源IP,将攻击流量引流到高防IP,对恶意攻击流量进行智能清洗,阻拦漏洞攻击、网页篡改、恶意扫描等黑客行为,保障网站的安全与可用性。
1、syn/fin/ack等tcp协议包
设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。
2、UDP/DNS query等UDP协议包
对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。
3、http flood/CC等需要跟数据库交互的攻击
这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数,因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。
4、其他
icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。
这几年,5G网络和智能物联网设备的逐渐普及,随之而来的是DDoS攻击的爆发式增长,DDoS攻击的规模和造成的危害也越来越大。DDoS攻击对互联网线上业务的影响极大,因为网络攻击导致用户体验极差,肯能导致互联网平台口碑变差甚至直接导致很多用户流失。所以互联网必须清楚网络安全的重要性,做好必要的DDoS高防措施,建议接入墨者盾高防,通过最新指纹识别系统对恶意攻击流量进行流量清洗,降低网络攻击风险,保障服务器稳定运行。
关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDOS攻击防御。
热门文章
7x24 小时
免费客服热线
400-0797-119