您的位置: 新闻资讯 > 行业动态 > 正文

服务器遭到DDOS攻击如何防御?

来源:无敌防护 2019-11-04 17:35:58
上文说到目前互联网上主要的DDOS攻击类型有哪些,本文将给大家分享一下除了接入高防服务“例如墨者安全的墨者盾,单节点可防御百万CC并发,达到TB级别的DDOS防御,误杀率全网领先”之外呢,还有以下几种方式。
 
DDOS攻击如何防御

按攻击流量规模分类
(1) 较小流量:
小于1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的: 利用iptables或者DDoS防护应用实现软件层防护。
(2) 大型流量:
大于1000Mbps,但在DDoS清洗设备性能范围之内,且小于机房出口,可能影响相同机房的其他业务的:利用iptables或者DDoS防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer;或者直接接入DDoS清洗设备。
(3) 超大规模流量:
在DDoS清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务的:联系运营商检查分组限流配置部署情况并观察业务恢复情况。

按攻击流量协议分类
(1) syn/fin/ack等tcp协议包:
设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。
(2) UDP/DNS query等UDP协议包:
对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。
(3) http flood/CC等需要跟数据库交互的攻击:
这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数,因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。
(4) 其他:
icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

热门文章

X

7x24 小时

免费客服热线

400-0797-119


官方唯一指定合作伙伴!