A开了一家面包店,生意兴隆。每天来买面包的人可以排很长的队。
隔壁B也开了一家面包店,但几乎没人在意。
看到 A 的面包店如此受欢迎,B 对 A 偷了生意感到反感。
一天,B终于受不了了,付钱给一群流氓。
A照常运行正常,却突然发现不对劲。
店里一大群新的“顾客”,不仅挤满了整个店面,挡住了外面想进来买面包的顾客,还拉着A问他们不走不逛。
与上述情况一致,DDoS攻击者会使用僵尸主机访问具有大量持续流量的目标服务器,但这些访问伪装成正常访问数据(毕竟是通过正常服务器访问,而不是通过正常服务器访问) . 入侵或伪造),使 NF 或其他防御设备无法识别它。
当然,如此大规模且难以诊断的攻击方式,也会有其相应的防御技术。
就像解决A的面包店被这些歹徒占领的问题一样,A可以请一个有实力的技术人员在门口等着,过来检查一个,发现不是真的。客户不会被放进去;你也可以自己扩建,这样既可以伪装成流氓,还可以让外面的真实顾客挤进来。当然,当B发现“我地天,他居然扩张了”,就请更多的流氓来过来占据空间,那么A需要继续扩容扩容,直到B因为资金用完而放弃(请不起流氓)这种恶意攻击手段至今。
那么,如何防范服务器 DDoS 攻击呢?
定期检查
检测现有网络节点,检查可能存在的漏洞,及时处理现有漏洞服务器防御,如补丁升级等。
防火墙
以五里街BGP高防机房为例。一般高防机房免费提供防火墙设备,在机房端口或用户服务器节点上设置防火墙。配合高防服务,可双重保障服务器安全。
但是,单独的机房防火墙无法防御规模稍大的攻击。一旦发生超过100G的DDoS攻击,就必须购买高防服务器和防火墙。
防DDoS服务器
这是一款抵御DDoS攻击的服务器,提高了服务器的高效防御能力。
Anti-DDoS服务器一般是技术手段,将五里界BGP数据中心放置在Anti-DDoS服务器机房内,为用户提供足够的带宽资源来承载DDoS攻击流量。
正如小编之前所说,如果店铺扩大了,可以容纳更多的人,除非攻击者也扩大了攻击的流量,发动更大的攻击,否则正常的访问流量也可以进入服务器。这是一种与攻击者比较带宽资源的方式,适用于大中型企业。
过滤不必要的服务和端口
关闭一些平时不使用或根本不使用的端口和服务,减少攻击者的入侵路径。
限制 SYN/ICMP 流量
随着DDoS攻击技术的发展,互联网上的安全风险逐渐增加,用户服务器越来越依赖高防服务。
可以预见,DDoS攻击的数量将继续增长,攻击的规模也会更大,损失也会更高。
