2841 
2023-05-20 10:55:02 在互聯網時代最難把控的就是DDoS攻擊,為什么防御DDOS攻擊非常困難呢?在沒有準備好的情況下,當你反應過來的時候已經遭到攻擊和破壞了。如何辨別是否是網絡DDoS攻擊?今天就跟著快快網絡小編一起來學習下關于DDoS攻擊的相關知識。
遭到大流量DDoS攻擊如何清洗?
1.本地DDos防護設備
一般惡意組織發起DDos攻擊時,率先感知并起作用的一般為本地數據中心內的DDos防護設備,金融機構本地防護設備較多采用旁路鏡像部署方式。
本地DDos防護設備一般分為DDos檢測設備、清洗設備和管理中心。首先,DDos檢測設備日常通過流量基線自學習方式,按各種和防御有關的維度:比如syn報文速率、http訪問速率等進行統計,形成流量模型基線,從而生成防御閾值。
學習結束后繼續按基線學習的維度做流量統計,并將每一秒鐘的統計結果和防御閾值進行比較,超過則認為有異常,通告管理中心。由管理中心下發引流策略到清洗設備,啟動引流清洗。異常流量清洗通過特征、基線、回復確認等各種方式對攻擊流量進行識別、清洗。
經過異常流量清洗之后,為防止流量再次引流至DDos清洗設備,可通過在出口設備回注接口上使用策略路由強制回注的流量去往數據中心內部網絡,訪問目標系統。
2.運營商清洗服務
當流量型攻擊的攻擊流量超出互聯網鏈路帶寬或本地DDos清洗設備性能不足以應對DDos流量攻擊時,需要通過運營商清洗服務或借助運營商臨時增加帶寬來完成攻擊流量的清洗。運營商通過各級DDos防護設備以清洗服務的方式幫助用戶解決帶寬消耗型的DDos攻擊行為。實踐證明,運營商清洗服務在應對流量型DDos攻擊時較為有效。
3.云清洗服務
當運營商DDos流量清洗不能實現既定效果的情況下,可以考慮緊急啟用運營商云清洗服務來進行最后的對決。依托運營商骨干網分布式部署的異常流量清洗中心,實現分布式近源清洗技術,在運營商骨干網絡上靠近攻擊源的地方把流量清洗掉,提升攻擊對抗能力。
具備適用場景的可以考慮利用CNAME或域名方式,將源站解析到安全廠商云端域名,實現引流、清洗、回注,提升抗D能力。進行這類清洗需要較大的流量路徑改動,牽涉面較大,一般不建議作為日常常規防御手段。
以上三種防御方式存在共同的缺點,由于本地DDos防護設備及運營商均不具備HTTPS加密流量解碼能力,導致針對HTTPS流量的防護能力有限;同時由于運營商清洗服務多是基于Flow的方式檢測DDos攻擊,且策略的顆粒度往往較粗,因此針對CC或HTTP慢速等應用層特征的DDos攻擊類型檢測效果往往不夠理想。對比三種方式的不同適用場景,發現單一解決方案不能完成所有DDos攻擊清洗,因為大多數真正的DDos攻擊都是“混合”攻擊(摻雜各種不同的攻擊類型)。
比如:以大流量反射做背景,期間混入一些CC和連接耗盡,以及慢速攻擊。這時很有可能需要運營商清洗(針對流量型的攻擊)先把80%以上的流量清洗掉,把鏈路帶寬清出來;在剩下的20%里很有可能還有80%是攻擊流量(類似CC攻擊、HTTP慢速攻擊等),那么就需要本地配合進一步進行清洗。
為什么防御DDOS攻擊非常困難?
如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網絡已經癱瘓。但是,用戶還是可以抓住機會尋求一線希望的。
1.檢查攻擊來源,通常駭客會通過很多假IP地址發起攻擊,此時,用戶若能夠分辨出哪些是真IP哪些是假IP地址,然后了解這些IP來自哪些網段,再找網絡管理員將這些機器關閉,從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話,可以采取臨時過濾的方法,將這些IP地址在服務器或路由器上過濾掉。
2.找出攻擊者所經過的路由,把攻擊屏蔽掉。若駭客從某些端口發動攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對于公司網絡出口只有一個,而又遭受到來自外部的DdoS攻擊時不太奏效,畢竟將出口端口封閉后所有計算機都無法訪問internet了。
3.最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵,但是過濾掉ICMP后可以有效的防止攻擊規模的升級,也可以在一定程度上降低攻擊的級別。
4.要用360安全衛士之類的東東定期掃描,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。"
如何辨別是否是網絡DDoS攻擊?
1、服務器連接不到,網站也打不開
如果網站服務器被大量DDoS攻擊時,有可能會造成服務器藍屏或者死機,這時就意味著服務器已經連接不上了,網站出現連接錯誤的情況。
2、服務器CPU被大量占用
DDoS攻擊其實是一種惡意性的資源占用攻擊,攻擊者利用肉雞或者攻擊軟件對目標服務器發送大量的無效請求,導致服務器的資源被大量的占用,因而正常的進程沒有得到有效的處理,這樣網站就會出現打開緩慢的情況。如果服務器某段時期能突然出現CPU占用率過高,那么就可能是網站受到CC攻擊影響。
3、服務器帶寬被大量占用
占用帶寬資源通常是DDoS攻擊的一個主要手段,畢竟對很多小型企業或者個人網站來說,帶寬的資源可以說非常有限,網絡的帶寬被大量無效數據給占據時,正常流量數據請求很很難被服務器進行處理。如果服務器上行帶寬占用率達到90%以上時,那么你的網站通常出現被DDoS攻擊的可能。
4、域名ping不出IP
域名ping不出IP這種情況站長們可能會比較少考慮到,這其實也是DDoS攻擊的一種表現,只是攻擊著所針對的攻擊目標是網站的DNS域名服務器。在出現這種攻擊時,ping服務器的IP是正常聯通的,但是網站就是不能正常打開,并且在ping域名時會出現無法正常ping通的情況。
如果經常發生DDoS攻擊,對于網站來說是比較危險的,因此要重視DDOS攻擊。為什么防御DDOS攻擊非常困難?防御DDoS攻擊,要做到提前進行防備,如果在沒有任何措施的情況下遭到攻擊的話是來不及做出反應的。
