摘要:另外����,通過縮短半連接的時(shí)間也能有效防止攻擊,系統(tǒng)監(jiān)控能夠通過自主設(shè)置的閾值發(fā)送報(bào)警���,對(duì)系統(tǒng)情況進(jìn)行整體的把控�。
提到 DDoS 攻擊���,很多人不會(huì)陌生�����。上周,美國當(dāng)?shù)貢r(shí)間 12 月 29 日����,專用虛擬服務(wù)器提供商 Linode 遭到 DDoS 攻擊�����,直接影響其 Web 服務(wù)器的訪問����,其中 API 調(diào)用和管理功能受到嚴(yán)重影響�����,在被攻擊的一周之內(nèi)仍有部分功能不可用����,嚴(yán)重影響其業(yè)務(wù)和成千上萬使用 Linode 服務(wù)的用戶。
什么是 DDoS 攻擊�?
DDoS,即分布式拒絕服務(wù)(Distributed Denial of Service)攻擊�,指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)�����,對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊�,從而成倍地提高拒絕服務(wù)攻擊的威力。
DDoS 的攻擊方式有很多種���,最基本的 DDoS 攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源�����,從而使合法用戶無法得到服務(wù)的響應(yīng)�����。單一的 DoS 攻擊一般是采用一對(duì)一方式�,當(dāng)攻擊目標(biāo) CPU 速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等各項(xiàng)指標(biāo)值不高時(shí)�����,它的效果是明顯的�。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長(zhǎng)��,內(nèi)存大大增加�,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò),這使得 DoS 攻擊的困難程度加大了——目標(biāo)對(duì)惡意攻擊包的消化能力加強(qiáng)了不少��。這時(shí)候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生�。DDoS 就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻�����,以比從前更大的規(guī)模來進(jìn)攻受害者。
據(jù)統(tǒng)計(jì)����,2015 年針對(duì)企業(yè)的 DDoS 攻擊持續(xù)增長(zhǎng),根據(jù) Akamai 的調(diào)查報(bào)告�����,2015 年 DDoS 攻擊增長(zhǎng)了史無前例的 180% �����!對(duì)于本次事件的 Linode 來說�����,早在 2013 年����,Linode 就曾受到過大規(guī)模的 DDoS 攻擊。面對(duì) DDoS 這樣的周期性挑釁��,我們應(yīng)該找出被攻擊的原因�����,建立有效的防御體系來抵御攻擊。
防止 DDoS 攻擊的方式
1.減少公開暴露
之前曝光的的 Booter 網(wǎng)站或者是臭名昭著的 LizardSquad 旗下站 LizardStresser���,都提供付費(fèi) DDoS 攻擊某一目標(biāo)的服務(wù)���,而且這些網(wǎng)站都會(huì)將攻擊偽裝成合法的載入測(cè)試來進(jìn)行攻擊。這個(gè)黑客組織在 2014 年的圣誕節(jié)期間利用 DDoS 攻擊了微軟的 Xbox Live 和索尼的 PSN 網(wǎng)絡(luò)�,令許多玩家很長(zhǎng)時(shí)間無法正常娛樂。
對(duì)于企業(yè)來說����,減少公開暴露是防御 DDoS 攻擊的有效方式,對(duì) PSN 網(wǎng)絡(luò)設(shè)置安全群組和私有網(wǎng)絡(luò)��,及時(shí)關(guān)閉不必要的服務(wù)等方式�����,能夠有效防御網(wǎng)絡(luò)黑客對(duì)于系統(tǒng)的窺探和入侵�����。具體措施包括禁止對(duì)主機(jī)的非開放服務(wù)的訪問,限制同時(shí)打開的 SYN 最大連接數(shù)�����,限制特定 IP 地址的訪問�,啟用防火墻的防 DDoS 的屬性等����。
(圖片來源:OneRASP)
2.利用擴(kuò)展和冗余
DDoS 攻擊針對(duì)不同協(xié)議層有不同的攻擊方式,因此我們必須采取多重防護(hù)措施���。利用擴(kuò)展和冗余可以防患于未然�,保證系統(tǒng)具有一定的彈性和可擴(kuò)展性���,確保在 DDoS 攻擊期間可以按需使用�����,尤其是系統(tǒng)在多個(gè)地理區(qū)域同時(shí)運(yùn)行的情況下�����。任何運(yùn)行在云中的虛擬機(jī)實(shí)例都需要保證網(wǎng)絡(luò)資源可用����。
微軟針對(duì)所有的 Azure 提供了域名系統(tǒng)(DNS)和網(wǎng)絡(luò)負(fù)載均衡,Rackspace 提供了控制流量流的專屬云負(fù)載均衡����。結(jié)合 CDN 系統(tǒng)通過多個(gè)節(jié)點(diǎn)分散流量,避免流量過度集中�,還能做到按需緩存,使系統(tǒng)不易遭受 DDoS 攻擊����。
3.充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有 10M 帶寬的話����,無論采取什么措施都很難對(duì)抗當(dāng)今的 SYNFlood 攻擊,至少要選擇 100M 的共享帶寬��,最好的當(dāng)然是掛在1000M 的主干上了����。但需要注意的是,主機(jī)上的網(wǎng)卡是 1000M 的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的�,若把它接在 100M 的交換機(jī)上,它的實(shí)際帶寬不會(huì)超過 100M����,再就是接在 100M 的帶寬上也不等于就有了百兆的帶寬����,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為 10M�,這點(diǎn)一定要搞清楚。
4.分布式服務(wù)拒絕 DDoS 攻擊
所謂分布式資源共享服務(wù)器就是指數(shù)據(jù)和程序可以不位于一個(gè)服務(wù)器上�,而是分散到多個(gè)服務(wù)器��。分布式有利于任務(wù)在整個(gè)計(jì)算機(jī)系統(tǒng)上進(jìn)行分配與優(yōu)化����,克服了傳統(tǒng)集中式系統(tǒng)會(huì)導(dǎo)致中心主機(jī)資源緊張與響應(yīng)瓶頸的缺陷,分布式數(shù)據(jù)中心規(guī)模越大��,越有可能分散 DDoS 攻擊的流量����,防御攻擊也更加容易。
5.實(shí)時(shí)監(jiān)控系統(tǒng)性能
除了以上這些措施�,對(duì)于系統(tǒng)性能的實(shí)時(shí)監(jiān)控也是預(yù)防 DDoS 攻擊的重要方式。不合理的 DNS 服務(wù)器配置也會(huì)導(dǎo)致系統(tǒng)易受 DDoS 攻擊��,系統(tǒng)監(jiān)控能夠?qū)崟r(shí)監(jiān)控系統(tǒng)可用性�����、API、CDN 以及 DNS 等第三方服務(wù)商性能��,監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)��,清查可能存在的安全隱患�����,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理���。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬�����,是黑客利用的最佳位置����,因此對(duì)這些主機(jī)加強(qiáng)監(jiān)控是非常重要的�����。
另外���,通過縮短 SYN 半連接的 time out 時(shí)間也能有效防止 DDoS 攻擊����,系統(tǒng)監(jiān)控能夠通過自主設(shè)置的 Time out 閾值發(fā)送報(bào)警,對(duì)系統(tǒng)情況進(jìn)行整體的把控�。
(圖片來源:Cloud Test)
Cloud Test?是基于云技術(shù)的實(shí)時(shí)監(jiān)控系統(tǒng),能夠幫大家實(shí)時(shí)監(jiān)控網(wǎng)站性能����,監(jiān)控CDN、DNS���、API等第三方服務(wù)提供商的可用性,實(shí)現(xiàn)應(yīng)用性能及時(shí)監(jiān)測(cè)及時(shí)報(bào)警�����。想閱讀更多技術(shù)文章�����,請(qǐng)?jiān)L問?OneAPM?官方技術(shù)博客�。
本文轉(zhuǎn)自 OneAPM 官方博客
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11151.html
