如何預防ddos攻擊,網站防ddos攻擊有效措施
分類: 知識
常識詞典
編輯 : 常識
發布 : 04-15
閱讀 :316
DDoS可以說在互聯網界大名鼎鼎,也可以直言說是臭名昭著,隨著DDoS攻擊的范圍越來越廣泛,網站的安全也就變得更加重要。我們在預防DDoS攻擊前,可以先來了解一下DDoS,還有DDoS的常見攻擊方式。 關于DDoS攻擊 DDoS(Distributed Denial of Service),即分布式拒絕服務,那這分布式拒絕服務具體是什么意思?廣義上來講一切能夠導致合法用戶不能正常訪問網絡服務的行為都是拒絕服務攻擊,而DDoS主要是通過大量合法請求占用大量資源,導致服務器癱瘓,使正常用戶無法訪問。DDoS攻擊迅猛,來勢洶洶,一旦實施就如洪水般涌向受害服務器,所以也被稱作“洪水攻擊”。 DDoS常見攻擊手段 1.SYN Flood 非常經典且有效的DDoS攻擊方式,利用TCP/IP協議,經過三次握手的機制進行攻擊,對受害服務器主機發送大量偽源IP、偽源端口的SYN或ACK包,從而消耗服務器資源,導致服務器拒絕訪問。 注:SYN(Synchronize Sequence Numbers即TCP/IP協議中的同步序列編號) ACK(Acknowledge character即TCP/IP協議中的確認字符) 2.IP Floop 此攻擊用多個隨機的源主機地址向受害主機發送大量隨機或特定的IP包,造成受害主機不能處理其他正常用戶的IP報文。 3.DNS Query Flood 通過發起大量偽DNS回應包,導致DNS服務器帶寬阻塞,無法響應正常用戶的請求,正常用戶不能解析DNS,所以無法獲取服務。 4.Https Flood 使用https協議的Web服務器上的訪問服務,向受害服務器主機發送大量請求服務,使服務器忙于向攻擊者提供https響應資源,導致正常用戶無法獲取服務器資源。 如何有效防止DDoS攻擊? 1.網站做成靜態頁面 減少動態腳本的使用,這樣能大大提高抗攻擊能力,也讓黑客不那么容易入侵,此外如果需要調用數據庫的腳本,一定要拒絕代理服務的訪問。 2.過濾不必要的服務以及端口 通常我們使用Express、Forwarding等工具,來過濾不必要的服務和端口,從路由上過濾假IP,降低被入侵的風險。 3.隱藏真實IP地址 不把域名直接解析到服務器主機的真實IP,可以用免費CDN做中轉,用于隱藏服務器真實IP,域名解析使用CDN的IP,所有解析的子域名也用CDN的IP地址,只要真實IP地址不暴露,就可以有效降低被攻擊的風險。 4.使用一些開源的防御工具 DDoS之所以難防,一部分原因是因為防御工具比攻擊工具少得多,這里推薦使用Fastnetmon,可以探測分析網絡中的異常流量情況,通過外部腳本通知或阻斷攻擊,同時可以集成InfluxDB和 Grafana構建可視化DDOS安全預警系統。 5.使用專業抗DDoS的主機 對于大流量DDoS攻擊,常規的防御手段就不是很有效了,所以一開始選擇抗DDoS攻擊、安全系數較高的主機作為平臺就顯得很關鍵了,目前市面上抗DDoS攻擊的主機價格和質量參差不齊,如果想要低成本進行有效防御的話,比較推薦大家去選擇SugarHosts的主機產品,SugarHosts主要提供虛擬主機、VPS、云主機、獨立服務器等,主要是我們不少同事的企業網站都在用,關鍵價格比較合理,全方位抗DDoS攻擊,可以有效保護服務器和應用,大家感興趣,可以去看看。
