如何防御流量攻击
防御:
1. 要缓解攻击,而不只是检测
2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在
3. 内含性能和体系结构能对上游进行配置,保护所有易受损点
4. 维持可靠性和成本效益可升级性
简介:
由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击主要是利用了internet协议和internet基本优点--无偏差地从任何的源头传送数据包到任意目的地。
危害:
DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,如HTTP,Email等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;DDoS事件的突发性,往往在很短的时间内,大量的DDoS攻击数据就可是网络资源和服务资源消耗殆尽。
流量攻击是什么?遇到攻击怎么办?
流量攻击由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。 防御方式目前流行的黑洞技术和路由器过滤、限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。 1、 黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程,将改向的包引进“黑洞”并丢弃,以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃,所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务,攻击者因而获得胜利。 2、 路由器许多人运用路由器的过滤功能提供对DDoS攻击的防御,但对于复杂的DDoS攻击不能提供完善的防御。 路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击,例如ping攻击。这需要一个手动的反应措施,并且往往是在攻击致使服务失败之后。另外,DDoS攻击使用互联网必要的有效协议,很难有效的滤除。路由器也能防止无效的或私有的IP地址空间,但DDoS攻击可以很容易的伪造成有效IP地址。 基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击,因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而,DDoS攻击能很容易伪造来自同一子网的IP地址,致使这种解决法案无效。 本质上,对于种类繁多的使用有效协议的欺骗攻击,路由器ACLs是无效的。包括: ● SYN、SYN-ACK、FIN等洪流。 ● 服务代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN,所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。 ● DNS或BGP。当发起这类随机欺骗DNS服务器或BGP路由器攻击时,ACLs——类似于SYN洪流——无法验证哪些地址是合法的,哪些是欺骗的。 ACLs在防御应用层(客户端)攻击时也是无效的,无论欺骗与否,ACLs理论上能阻断客户端攻击——例如HTTP错误和HTTP半开连接攻击,假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千ACLs,这其实是无法实际实施的。防火墙首先防火墙的位置处于数据路径下游远端,不能为从提供商到企业边缘路由器的访问链路提供足够的保护,从而将那些易受攻击的组件留给了DDoS 攻击。此外,因为防火墙总是串联的而成为潜在性能瓶颈,因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。 其次是反常事件检测缺乏的限制,防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话,然后只接收“不干净”一侧期望源头发来的特定响应。然而,这对于一些开放给公众来接收请求的服务是不起作用的,比如Web、DNS和其它服务,因为黑客可以使用“被认可的”协议(如HTTP)。 第三种限制,虽然防火墙能检测反常行为,但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到,防火墙能停止与攻击相联系的某一特定数据流,但它们无法逐个包检测,将好的或合法业务从恶意业务中分出,使得它们在事实上对IP地址欺骗攻击无效。 IDS入侵监测 IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整,而且经常误报,并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。 作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击,但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器,但正如前面叙述的,这对于缓解DDoS攻击效率很低,即便是用类似于静态过滤串联部署的IDS也做不到。 DDoS攻击的手动响应 作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况,尝试识别消息来源是一个长期和冗长的过程,需要许多提供商合作和追踪的过程。即使来源可被识别,但阻断它也意味同时阻断所有业务——好的和坏的。 3、 其他策略为了忍受DDoS攻击,可能考虑了这样的策略,例如过量供应,就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低,尤其是因为它要求附加冗余接口和设备。不考虑最初的作用,攻击者仅仅通过增加攻击容量就可击败额外的硬件,互联网上上千万台的机器是他们取之不净的攻击容量资源。 有效抵御DDoS攻击 从事于DDoS攻击防御需要一种全新的方法,不仅能检测复杂性和欺骗性日益增加的攻击,而且要有效抵御攻击的影响。 保护关键主题 完整的DDoS保护围绕四个关键主题建立: 1. 要缓解攻击,而不只是检测 2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在 3. 内含性能和体系结构能对上游进行配置,保护所有易受损点 4. 维持可靠性和成本效益可升级性 防御保护性质 通过完整的检测和阻断机制立即响应DDoS攻击,即使在攻击者的身份和轮廓不 断变化的情况下。 与现有的静态路由过滤器或IDS签名相比,能提供更完整的验证性能。 提供基于行为的反常事件识别来检测含有恶意意图的有效包。 识别和阻断个别的欺骗包,保护合法商务交易。 提供能处理大量DDoS攻击但不影响被保护资源的机制。 攻击期间能按需求部署保护,不会引进故障点或增加串联策略的瓶颈点。 内置智能只处理被感染的业务流,确保可靠性最大化和花销比例最小化。 避免依赖网络设备或配置转换。 所有通信使用标准协议,确保互操作性和可靠性最大化。 保护技术体系 1. 时实检测DDoS停止服务攻击攻击。 2. 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。 3. 从好的数据包中分析和过滤出不好的数据包,阻止恶意业务影响性能,同时允许合法业务的处理。 4. 转发正常业务来维持商务持续进行。
常用ddos攻击流量处置方法
常用的DDOS攻击流量处置方法有流量清洗、黑名单、高强度防火墙和CDN加速四种。 1、流量清洗 流量清洗是一种将DDOS攻击流量从正常流量中分离出来的方法,其原理是通过分析网络流量的特性,将DDOS攻击流量与正常流量分离,然后将攻击流量进行过滤处理,只将正常流量传输到目标服务器。 2、黑名单 黑名单是一种阻止攻击者进入目标服务器的方法。在DDOS攻击中,攻击者通常会使用特定的IP地址或者端口来对目标服务器进行攻击,我们可以将这些IP地址或者端口加入到黑名单中,以阻止攻击者对目标服务器的攻击。 3、高强度防火墙 高强度防火墙是一种可以识别和过滤DDOS攻击流量的设备。它可以根据攻击流量的特征,判断是否为DDOS攻击流量,并对其进行过滤处理。高强度防火墙通常具有高性能和高可靠性,可以有效地抵御DDOS攻击。 4、CDN加速 CDN加速是一种将目标服务器的静态资源分发到全球各个节点上的方法。在DDOS攻击中,攻击者通常会针对目标服务器的带宽进行攻击,使用CDN加速可以将静态资源分布到全球各地的节点上,减轻目标服务器的带宽压力,提高服务器的稳定性。 DDOS攻击原理: 单一的DDOS攻击一般采用一对一方式,利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。 与DDOS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击(DDOS)是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起集团行为,从而快速达到消耗网络资源,造成网络或系统瘫痪的攻击效果。
ddos攻击流量处置方法
ddos攻击流量处置方法如下。方法一:隐藏源站,大部分的攻击流量是以服务器的IP以及网站域名为攻击目标发起的。我们可以通过隐藏源站的方式来对服务器实施保护,例如我们可以使用高防CDN、高防IP、游戏盾等产品对源站进行隐藏,让攻击流量无法直接到达源站上去。方法二:增加源服务器防御性能,可以通过增加服务器防御值的方式去抵御攻击,只要攻击值在服务器的防御范围内,基本源站的业务运行都是不会受到影响的。方法三:查找出攻击发起的IP拉入黑名单,这种方法,直接找到攻击发起的IP拉入黑名单,设置不接受这个IP的数据请求,也是可以防御攻击的,但是这种方法的作用没那么好,毕竟流量型攻击所使用的的IP都是傀儡机的,人工一个个找是很难找到真实发起攻击的IP地址的,也需要一定的技术实力。做好哪些工作才可以尽可能的降低被攻击的风险方法如下。1、减少网站的动态页面,尽可能的使用静态页面。2、定期排查维护,做好漏洞扫描和修复工作,增加服务器在使用中整体的安全指数。3、关掉多余的服务和端口,让服务最小化,可以减少被攻击的概率。