“攻击”服务器是一个统称。 DDoS(拒绝服务)攻击也有不同的种类。 为简单起见,我们将 L3、L4 分为 2 种类型 - 带宽泛滥和 L7 过载服务器。 在本文中,HostingViet 着重于对第 7 层的泛化攻击,目标是使服务器的服务过载。 特点是带宽小(几百kbps或几Mbps)但服务器负载高。本文将解释企业如何主动防御 DDoS 攻击。 我们在下面介绍的方法有助于减轻 DDoS 的影响并确保从 DDoS 攻击中快速恢复。 让我们现在就知道!
1. DDOS 攻击是什么
DDoS(分布式拒绝服务)是一种网络攻击,旨在通过用虚假流量淹没系统来降低网络(主机将无法与外部通信)、服务或服务器。消息、连接请求或数据包的突然增加会使目标的基础设施不堪重负,并导致系统减速或崩溃。第 7 层(Layer 7)攻击是一种伪造的类似用户的攻击,使服务器超载,导致无法处理真实用户的请求。
DDoS 攻击允许黑客用虚假流量淹没网络或使服务器过载。过多的流量会使资源过载并中断连接,从而阻止系统处理真实的用户请求。服务变得不可用,服务器受到攻击的企业遭受停机时间延长、收入损失和客户不满。 DDoS攻击不泄露数据,很少长时间攻击服务器,服务器不在火灾和爆炸的标准条件下运行。
虽然一些黑客使用 DDoS 攻击勒索企业支付赎金(类似于勒索软件),但 DDoS 背后更常见的动机是:
1. 服务或通讯中断。
2. 商标损坏。
3. 在竞争对手网站关闭时获得业务优势。
4. 分散事件响应团队的注意力。
DDoS 攻击对各种规模的企业都是一种威胁。 据统计,DDoS 黑客最常针对的目标是:
- 在线零售商。
- IT 服务提供商。
- 金融科技和金融公司。
- 政府机构。
- 在线赌博和游戏公司,“黑暗”网站也经常被偷窥。
攻击者经常使用Botnet引起DDoS。Botnet是在攻击者控制下感染恶意软件的计算机、移动设备和物联网设备的互连网络。黑客使用这些“僵尸”设备向目标网站或服务器的 IP 地址发送过多请求。
当botnet发送足够多的请求时,在线服务(电子邮件、网站、网络应用程序等)就会变慢或过载。据 Radware 报道,这是一次 DDoS 攻击的平均长度:
- 33% 的人让服务闲置一个小时。
- 60% 持续不到一天。
- 15% 持续一个月。
虽然 DDoS 通常不会直接导致数据泄露或数据泄露,但受害者会花费时间和金钱让服务重新上线。业务损失、购物车被遗弃、用户沮丧和声誉受损是不阻止 DDoS 攻击的常见后果。
2. 为什么您的服务器受到 DDoS 攻击?
您的服务器受到 DDoS 攻击的主要原因有 3 个。
- 第一:由于你对手的攻击/雇佣拒绝服务DDoS攻击者。
- 第二:无意间你成为“DDoS伴侣”,以防你共享被攻击的服务器或网络被攻击。 这是因为您被“宠坏了”,而不是您的服务器是攻击的目标。 对于这种情况,请咨询您的 VPS/服务器/托管服务提供商。 您可以将服务切换到 HostingViet 不再有这个麻烦(通过 Zalo 0356.95.86.88 快速聊天)。
3. DDoS 攻击的类型
虽然所有 DDoS 攻击都旨在通过过多的活动使系统不堪重负,但黑客有不同的策略来造成分布式拒绝服务。
三种主要的攻击类型是:
- 应用层攻击(Application-layer attacks)
- 协议攻击。 (Protocol attacks.)
- 容量攻击。 (Volumetric attacks)
这三种方法依赖于不同的技术,但熟练的黑客可以使用所有三种策略来压倒一个目标.
应用层攻击Application-layer attacks(L7)
应用层攻击针对并破坏特定应用程序,而不是整个网络。黑客发出大量 HTTP/SSL 请求,耗尽目标服务器的响应能力。特点是带宽流量非常小(几百 Kbps 或几 Mbps)。
网络安全专家根据每秒请求数 (RPS) 衡量应用层攻击。这些攻击的常见目标包括:
1. 网络应用。
2. 应用程序具有 Internet 连接。
3.云计算服务。
试图阻止此类 DDoS 攻击具有挑战性,因为安全团队通常难以区分用户 HTTP 请求和恶意请求。这些攻击比其他 DDoS 策略使用更少的资源,一些黑客甚至可能使用单个设备来协调一层攻击应用程序。
协议攻击 Protocol Attacks Protocol attacks
基于协议的 DDoS 攻击(或网络层攻击)利用管理互联网通信的协议或进程中的弱点。虽然应用程序级 DDoS 针对特定应用程序,但协议攻击的目标是减慢或无法访问整个网络。
两种最常见的基于协议的 DDoS 攻击类型是:
- SYN floods:这种攻击利用了 TCP 握手(handshake)。攻击者会向目标发送带有假 IP 地址的 TCP 请求。目标系统响应并等待发送方确认握手。由于攻击者从不发送响应来完成握手,因此未完成的进程堆积起来并最终导致服务器崩溃。
- Smurf DDoS:黑客使用恶意软件创建与虚假(欺骗)IP 地址相关联的网络数据包。此数据包包含要求网络发回响应的 ICMP ping 消息。黑客将向网络 IP 地址发送响应(回显),从而形成最终导致系统崩溃的无限循环。
网络安全专业人员以每秒数据包数 (packets per second PPS) 或每秒比特数 (bits per second BPS) 来衡量协议攻击。
容量攻击Volumetric attacks
基于流量的 DDoS 攻击通过虚假数据请求消耗目标的可用带宽并造成网络拥塞。这是“大手”攻击,消耗资源。如果你的带宽不大于攻击的带宽,服务就会down。
比如你的服务器有10Gbps的网口,黑客就会发送超过10Gbps的请求,导致真正的用户请求无法到达服务器,反之亦然。如果规模不够大,服务仍会正常工作,如果接近满端口,服务可能会出现闪烁。
最常见的容量 DDoS 攻击类型是:
- UDP floods:这些攻击允许黑客使用包含无状态 UDP 协议的 IP 数据包淹没目标服务器上的端口。
- DNS 放大(或 DNS 镜像):这种攻击将大量 DNS 请求重定向到目标的 IP 地址。
- ICMP floods:此策略使用错误的 ICMP false请求来使网络带宽过载。
所有大规模攻击都依赖于僵尸网络。黑客使用大量感染恶意软件的设备来引起流量高峰并耗尽可用带宽。批量攻击是最常见的 DDoS 类型,也是最难预防的。它可以使整个数据中心网络瘫痪。
4. 应对DDoS攻击的措施
反 DDoS 攻击有多种形式,取决于基础设施(带宽、服务器配置)、服务器类型(Linux、Windows、webserver、Game、VPN...)。 每种类型都会根据每种类型的共同特点有通用和具体的反攻击方法。
抗DDoS攻击三层、四层
这是最“讨厌”的攻击形式。 打到了带宽的量级,堵在门口就没法对抗了。 在这种形式下,“经验”对对抗 DDoS 帮助不大。
解决方案是在黑客的数据包发送到服务器之前进行选择。
1.在进入服务器前检测并要求提供商屏蔽,屏蔽来自攻击国家的IP。 如果你的服务器在越南,你可以放心,越南的IP攻击并不多。 所以这个封锁是相当有效的。
2. 另一个措施是“更大的带宽”,但这会使您的预算增加不少。
3. 更有效的措施是租用有抗DDoS服务的服务商。
*Hosting/VPS服务在HostingViet默认每服务抗DDoS高达20Gbps并完全免费的。你不用要付“抗DDoS费用
L7层抗DDoS攻击
在这一层,Anti-DDoS 保护依赖于rule set。 主要的攻击方法将是 tcp、每秒数据包阈值、Packets per Second Threshold、HTTP、HTTP Spam、HTTP Zeus、HTTP Socket、UAM Ghost、Browser HADES、Browser STORM、Browser ATHENA、Browser-ARES...
- 主要是会超载database,webserver。
- 要处理的关键字是:Rate Limit
通过准备更强大的硬件来对抗 DDoS 攻击
这里的硬件主要是一个非常好的CPU。 因为大部分的攻击都会挂掉CPU。 但这种方式只是“帮助”了一点点。 因为实际上,仅仅100kbps的速度,如果不加以保护,就有可能击落一个拥有数个core的巨大物理服务器。 当然,强大的硬件仍然占上风。
此外,为了防止带宽泛洪(UDP),需要升级网络带宽。 通常,如果您没有专用的反 DDoS 设备,您将需要 10Gbps 或更多。
通过Caching防止 DDoS 攻击
主要是针对database的攻击——缓存会解决重复请求。 它还可以处理相当多的小规模和不太复杂的 DDoS 攻击。 但是对于专业的Attacker来说,他们总是知道如何让服务器发挥最大的作用,所以这种方式并不能彻底解决问题。
与服务提供商合作对抗 DDoS 攻击
大多数服务提供商都有反 DDoS 程序。 当然,您需要为此服务单独支付费用。
但在 HostingViet,主动反 DDoS 是完全免费的。 更多详情,请在屏幕右上角与顾问聊天。 或扎洛 (+84)356958688
通过分析和处理每种特定类型的攻击来对抗 DDoS 攻击
此方法需要良好的计算机技能或专用设备的monitor。 在 HostingViet,我们使用专用的反 DDoS 设备。 因此,可以分析对您服务器的请求的一般特征,并提供特定的预防机制。 如果自动rule没有阻止所有。
也就是说,这些request将在到达受攻击的服务器之前被阻止。 这增加了客户端服务器的工作能力。 为客户节省大量成本。
如何使用 Cloudflare 防止对 Web 服务器的 DDoS 攻击
Cloudflare 是世界上最大的基于 DNS 的反 DDoS 网站。 使用免费版本,您的网站也受到基本保护。 但 Cloudflare 即使是付费版本也很容易“bypass”。 一不小心变成了zombie攻击网站。
另一个弱点是 clf 不抵抗在非 Web 服务器上运行的应用程序。
(暂时)如何通过“封国际IP”来对抗DDoS攻击
有很多方法可以阻止国际IP访问服务器,从switch上,在服务器上。 但是,它不会阻止 UDP 洪水攻击。
Cloudflare 还可以选择按国家/地区阻止 IP。
希望本文能帮助您了解 DDoS 的基础知识。 DDoS攻击有多种不同的形式和频率,因此会有相应的拦截方法。
对于HostingViet,如果您的服务器受到攻击,系统会自动提高警戒级别,并自动向逐渐收紧的方向应用规则。
如果您想试用该服务,请联系屏幕右上角的顾问。