中国领先的IT技术网站
51CTO旗下网站
如何尽早地发现并抵御 DDoS 攻击?
DDoS(Distributed Denial of Service) 也称之为分布式拒绝服务，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。简而言之，DDoS 攻击就是通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。
作者：来源：oneAPM| 15:33
近半年，随着软硬件服务的廉价化、规模化，国内外云厂商频繁遭受不明原因的大规模网络攻击，给很多网站带来了不良的影响。其实，DDoS 攻击这把「达摩斯之剑」一直高悬在各家互联网公司的头顶，虽然很多互联网企业对 DDoS 攻击都是深恶痛绝，不过，到目前为止，很难从技术层面进行彻底的解决，原因就在于 DDoS 其实是一种合法的「攻击」。
什么是 DDoS 攻击?
DDoS(Distributed Denial of Service) 也称之为分布式拒绝服务，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力。简而言之，DDoS 攻击就是通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。
我们可以看看国内外有哪些比较经典的 DDoS 攻击案例：
2013年3月创记录的300 Gbps，Spamhaus、 CloudFlare 遭到攻击，被评价为「差点瘫痪欧洲网络」的攻击事件。
2014年2月创纪录的400 Gbps，攻击对象为 CloudFlare 客户，据称当时包 括4chan、维基解密在内的78.5万个网站安全服务受到影响。
2014年3月底， Anonymous 黑客组织发动了大规模的 DDoS 攻击，导致该索尼公司的
网站一度无法访问。索尼公司所称，DDoS 攻击过程中，索尼的 PSN 服务服务器被攻破，造成7700万用户数据被盗。
在-21日间，部署在阿里云上的某知名游戏公司，遭遇了全球互联网史上最大的一次 DDoS 攻击，攻击流量峰值达每秒453.8Gb，仍是一个刷新排行榜的「巨大」数字。很多人都不知道这个数字的概念，要知道国内一些中小城市总的带宽也不一定有 450G，也就是说，如果这么大的流量打到某个城市的 IP 上，这个城市就要断网了。
DDoS 攻击造成的影响和后果
也许你觉得 DDoS 攻击都是大公司才会遭遇的问题，那你就「大错特错」了。现在 DDoS 攻击成本极低，甚至已经形成了产业链，一些黑客明码标价。比如，打1G 的流量到一个网站一小时，网上报价只需50块钱。之前，国内就有一家 P2P 网贷的网站 CEO 为了打击竞争对手，雇佣黑客发动 DDoS 攻击，导致对方业务全线瘫痪。
我们还可以看一些权威数据，DDoS 防护服务市场领导者 Black Lotus 发布的报告显示，全球大型服务提供商都饱受各种 DDoS 攻击。攻击范围非常广泛，涵盖各行各业，其中64%的平台提供商受到 DDoS 攻击影响，66%的托管解决方案提供商和66%的 VoIP 服务提供商受到影响。
DDoS 攻击会造成非常严重的影响，61%的各类型服务提供商因被攻击而威胁到正常的商业运作，甚至造成利润流失或者客户隐私被窃。
来自卡巴斯基的调查分析显示，38%的 DDoS 攻击的受害者无力保护其核心业务免遭攻击。攻击也能影响信用评级以及保险费。一个单一的 DDoS 对公司的在线资源的攻击可能会造成相当大的损失，平均的数字根据公司规模的不同，大概从52000美元到美国444000美元不等。
其实，如果仅仅是对资产造成影响还可以接受，但是很多时候，DDoS 攻击带来的间接影响是非常可怕的，因为很多用户并不知情，他们只会觉得这家公司服务不好，并且会造成合作伙伴和客户无法进行网络访问的情况，甚至会对公司声誉造成致命的打击，这是用金钱无法衡量的。
常见的 DDoS 攻击解决方案
在云计算时代，对于任何 DDoS 攻击而言，需要的不是防御方案，不是某一个安全设备，而是是一个快速响应的机制，一个团队，是一个能够做迅速做系统分析，快速做出决策的团队。从目前来看，虽然降低 DDoS 攻击的影响并非易事，但是我们也要主动采取措施进行避免。一般而言，我们常见的防御方案如下：
多域名备份;
每个域名的接入服务器分别部署在不同的主流云系统上，并分别使用 CDN;
在云之间架设隧道 VPN，服务器相互之间通过 VPN 做数据同步和心跳;
DDoS 发生后可能短时间无法完全防御，因此要有保证最小服务的生存的意思。例如：留1-2个站点作为不对外提供服务的冗余节点，并做好保密措施
那么问题来了，如何快速分析大面积受限服务的原因呢?如何能帮助云服务厂商和客户构筑一个快速响应机制呢?首先，我们需要确定是由于 DDoS 攻击，还是因为设备故障。然后再想方设法帮助云平台客户快速响应，及时跟云服务厂商沟通，进而采取相应的备选方案。
如果是 DDoS 攻击，及时求助云厂商过滤可疑攻击源地址，或采用应急备份服务;如果是网络硬件问题，云服务商就可以根据客户反馈快速甄别是否是外部问题，这样会极大降低客户的损失，并且保障好公有云(IaaS)厂商的服务质量。
本文节选自OneAPM新闻
【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
原创头条专题热点热点
24H热文一周话题本月最赞
讲师：275人学习过
讲师：1542人学习过
讲师：1505人学习过
精选博文论坛热帖下载排行
本书选择经典的开放源代码，全面系统地分析了Linux安全机制。本书共有17章，前10章着重介绍了Linux操作系统的安全机制及实现方法，阐述了公...
订阅51CTO邮刊页面已拦截
无锡网警提示您：
该网址被大量用户举报，可能含有恶意信息。当前位置： && 知识详情
如何防止DDoS攻击（上）
阅读：13400次
&&&&&&&&上个月，我们FastMail遭到DDoS攻击。在这一周中，我们学到了关于DDoS攻击的许多干货以及防范措施。什么是DDoS攻击？&&&&&&&&DDoS即“分布式拒绝服务”。从根本上说，所有的互联网服务需要对网络请求执行某些操作并返回结果。要做到这一点，服务将投入一定量资源实现每个请求，其中的资源包括网络容量，CPU周期，存储器，IO等等。DoS攻击的通常方法是从外部寻找一些方法来耗尽可用的资源，所以导致没有资源留给合法请求。&&&&&&&&有很多方法可以DDoS，最简单的是攻击者破坏该服务接受请求的网络连接。这就是“分布式”部分，使世界各地受感染的计算机（通过恶意软件和病毒）被指示发出大量请求网络服务的同时，堵塞网络连接并阻止合法请求。&&&&&&&&DDoS攻击背后的想法是为攻击者产生比接收站点可以处理的更多的流量。一台计算机不可能有足够的网络资源来攻击一个服务器，如果这个服务器是高容量连接到网络的一个节点。但是，如果你能使得世界各地的在不同网络中的电脑在同一时间发出请求，你可以把这些汇聚起来让服务器处理。&&&&&&&&主要的方式是通过“僵尸网络（botnet）”。一个僵尸网络由许多个（通常为几百或几千个）已安装了恶意软件的家庭或工作计算机组成。恶意软件的来源是电子邮件（垃圾邮件/病毒），附加的软件安装程序（广告软件/恶意软件）等。一旦安装上，该软件将通知控制服务器并等待指令。攻击者会发出一个命令指示这些机器开始发送大量的网络请求到被攻击的网站。&&&&&&&&DDoS的另一种方式被称为“扩增攻击”。一些互联网服务（特别是DNS和NTP）经常错误配置成通过一个小的请求来诱骗服务发送大量响应到别的地方。如果几个僵尸网络的计算机都发出这类请求，就会导致大量的流量击中目标。现在僵尸网络越来越容易让人访问。你可以在某些网站租用一个僵尸网络一段时间，用信用卡或比特币支付，并通过一个简单的Web表单选择你的目标。DDoS防御准备&&&&&&&&在我们的例子中，我们确定了DNS和内部数据中心的VPN连接是最关键的。DNS是至关重要的，因为即使我们处于脱机状态，正在工作的DNS让网站发送电子邮件队列，而DNS的损失可能会导致反弹出现。另一方面，我们的数据中心之间的VPN链路，让我们的内部基础设施保持正常运行，即使外部网络出现故障，在集中攻击的这段时间内我们也没有一大堆的内部服务（如跨数据中心复制）发生崩溃。网络防御&&&&&&&&防止洪水般的流量进入你的网络的最好方法是让它远离你的网络。 DDoS攻击试图汇聚来自世界各地的流量到你单一的网络连接中。如果你能得到去别处的流量，那么你的网络连接就能对合法请求作出响应。Web和DNS缓解&&&&&&&&对于典型的Web应用程序，要做到这一点最简单的方法就是把一些全球分布式网络/ DNS代理（又名CDN）在你的服务前。这些使用Anycast来强制发往你的网站，先通过代理服务器物理上接近机器发出请求。他们还实施了各种DDoS防护和过滤，所以只有合法得到的东西才会传递给你。&&&&&&&&当然，这只是如果攻击者不知道如何直接找到你时阻止攻击的办法。如果你曾经在DNS中发布自己的网络范围，那么每个人都知道你在哪里，即使你挂了代理。在这种情况下，你需要弄一些从来没有公布的新的公网IP地址，并且只提供给代理供应商，那么攻击者才能难以找到你的网络。&&&&&&&&对于FastMail，网络代理是不够的，因为我们有重要的非Web服务（IMAP，SMTP等）的负载。正如我前面所说的 DNS是关键部分，所以我们现在在公共DNS使用CloudFlare虚拟DNS服务。我们传统的DNS域名服务器& 和现在通过CloudFlare的服务器遍布世界各地，它通过新的、未公布的IP地址连接回我们。如果没有返回，他们会继续服务于缓存响应，直到我们回来。与数据中心供应商合作&&&&&&&&我们不会在云基础架构上运行我们的业务。相反，我们在不同的地点有自己的服务器运行在管理数据中心。像我们这样，数据中心供应商将把所有直接链接到“支柱”，这是高容量网络把不同的ISP、网络供应商和大型企业连接在一起而形成的“互联网”。这是减轻DDoS攻击最好的地方，因为可以看到流量的绝对数量并对其进行处理。在我们的例子中，NYI安排他们的网络合作伙伴之一来宣传我们的网络，指导DDoS攻击防护服务，过滤掉垃圾并传递合法的数据包到我们的网络。&&&&&&&&NYI还提供给我们一个小范围的未公开的IP地址。正如前面所提到的，我们在这里为CloudFlare增加了一个DNS服务器来代理DNS流量，而我们通过这个范围的地址路由了跨数据中心的VPN连接。从理论上讲，如果我们的主网络阻塞，这种辅助网络应保持可用，因此DNS和跨数据中心之间的流量可以继续畅通无阻。&&&&&&&&显然，有的攻击我们永远不能阻止，比如直接针对数据中心提供商的攻击，但这些都是攻击者使用那些“出售的”僵尸网络很难实现的。就像网络安全中所有的问题一样，你防御不了一个资源丰富而且坚定针对同一目标的攻击，但你可以对随意攻击做很多防御。&&&&&&&&想要进一步了解如何应用DDoS攻击的防御措施，请关注播报推出的后续文章！
本文由 安全客 翻译，转载请注明“转自安全客”，并附上链接。
参与讨论，请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]如何简单防范DDOS攻击_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
如何简单防范DDOS攻击
上传于|0|0|暂无简介
大小：51.44KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢}