2024-01-25 分類: 網(wǎng)站建設(shè)
什么是 DDoS?DDoS 代表“分布式拒絕服務(wù)”?!?DDoS 攻擊是惡意嘗試使服務(wù)器或網(wǎng)絡(luò)資源對用戶不可用,通常是通過暫時中斷或暫停連接到 Internet 的主機(jī)的服務(wù)。與拒絕服務(wù) (DoS) 攻擊(其中使用一臺計算機(jī)和一個 Internet 連接用數(shù)據(jù)包淹沒目標(biāo)資源)不同,DDoS 攻擊使用多臺計算機(jī)和許多 Internet 連接,這些連接通常分布在全球范圍內(nèi),稱為僵尸網(wǎng)絡(luò)。
Anti-DDoS?防護(hù)技術(shù)DDoS 攻擊主要有 3 種類型,每種類型都有自己獨特的保護(hù)策略和工具:
基于卷的攻擊:基于容量的攻擊會產(chǎn)生大量的網(wǎng)絡(luò)級請求,使網(wǎng)絡(luò)設(shè)備或服務(wù)器不堪重負(fù)。這些可能包括UDP 泛洪、ICMP 泛洪和其他使用欺騙網(wǎng)絡(luò)數(shù)據(jù)包的攻擊。為了防止基于流量的攻擊,反 DDoS 提供商執(zhí)行大規(guī)?!扒謇怼保褂迷品?wù)器檢查流量,丟棄惡意請求并讓合法請求通過。這種方法可以應(yīng)對大規(guī)模、數(shù) GB 的 DDoS 攻擊。這也稱為 DDoS 通縮。
協(xié)議攻擊:協(xié)議攻擊會生成利用網(wǎng)絡(luò)協(xié)議弱點的請求。其中包括SYN 泛洪、碎片化數(shù)據(jù)包和Ping of Death。為了防止協(xié)議攻擊,反 DDoS 工具通過在不良流量到達(dá)您的站點之前阻止它來減輕協(xié)議攻擊。高級解決方案可以分析流量并將合法用戶與惡意、自動化的客戶端和機(jī)器人區(qū)分開來。
應(yīng)用層攻擊:在應(yīng)用層攻擊中,攻擊者向 Web 應(yīng)用程序或其他軟件應(yīng)用程序生成大量請求,這些請求似乎來自合法用戶。其中包括 GET/POST 泛洪、低速攻擊或針對 Apache 或 Windows漏洞的特定攻擊。為了防止應(yīng)用層攻擊,反 DDoS 系統(tǒng)會監(jiān)控站點訪問者的行為,阻止負(fù)責(zé)應(yīng)用層攻擊的惡意機(jī)器人,并使用多種機(jī)制(例如 JavaScript 測試、cookie 挑戰(zhàn)和CAPTHA)挑戰(zhàn)無法識別的訪問者。
防 DDoS 軟件解決方案
Anti-DDoS 軟件在現(xiàn)有硬件上運(yùn)行,分析并過濾掉惡意流量。通常,Anti-DDoS 軟件比基于硬件的解決方案更具成本效益且更易于管理。但是,基于軟件和腳本的解決方案只能提供部分 DDoS 攻擊保護(hù),容易出現(xiàn)誤報,并且無助于緩解基于數(shù)量的 DDoS 攻擊。本地安裝的軟件比設(shè)備或基于云的解決方案更容易不堪重負(fù),后者在面對大型攻擊時更具可擴(kuò)展性。
防DDoS防火墻
DDoS 攻擊試圖通過用大量看似合法的請求淹沒服務(wù)器/防火墻來壓倒它。傳統(tǒng)防火墻難以有效攔截DDoS攻擊,往往自身成為海量請求的瓶頸,使攻擊更加嚴(yán)重。傳統(tǒng)防火墻的一些弱點可以通過調(diào)整網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及優(yōu)化防火墻和入侵防御/檢測系統(tǒng)(IPS/IDS) 的部署和配置來緩解。但即使是最佳的防火墻部署和配置也無法消除 DDoS 損害,尤其是在應(yīng)用層攻擊場景中。
Web 應(yīng)用程序防火墻 (WAF) 可以充當(dāng)反 DDoS 防火墻,可以智能地清除不良請求,是 DDoS 保護(hù)的有效且經(jīng)濟(jì)的替代方案。WAF 通常部署在云中,通過發(fā)送 cookie 或其他響應(yīng)來響應(yīng)可疑的應(yīng)用程序請求——在允許訪問系統(tǒng)之前確保用戶是真實的并且請求是有效的。
防DDoS硬件解決方案
防 DDoS 硬件是潛在攻擊者和您的網(wǎng)絡(luò)之間的物理保護(hù)層。盡管抗 DDoS 硬件可以防止某些類型的攻擊,但其他類型(如 DNS 攻擊)完全不受硬件影響,因為損壞甚至在流量到達(dá)設(shè)備之前就已完成。硬件保護(hù)可能很昂貴。除了硬件本身的資本支出外,維護(hù)、安置和運(yùn)行設(shè)備所需的設(shè)施和熟練人力還需要大量運(yùn)營費用。額外的成本是設(shè)備折舊和升級。
防DDoS托管
降低 DDoS 攻擊風(fēng)險的一種常見方法是與支持 DDoS 的托管服務(wù)提供商簽訂合同,該提供商已經(jīng)擁有在發(fā)生 DDoS 攻擊時吸收不良流量所需的設(shè)備。但是,Anti-DDoS 托管的效率有限,并且比傳統(tǒng)托管成本高得多。在 Anti-DDoS 托管生態(tài)圈中,網(wǎng)站所有者通常有兩種選擇:
專用托管——往往非常昂貴,而且不靈活/可擴(kuò)展。 租用主機(jī)——既昂貴又受主機(jī)提供商的總?cè)萘亢椭鳈C(jī)計劃的特定容量的限制。但是,這兩個選項都沒有提供智能應(yīng)用層DDoS 緩解。此外,Anti-DDoS 托管的成本效益低于其他選項,因為吸收 DDoS 流量是有代價的,并且不提供基于智能行為/簽名的識別。在典型的 Anti-DDoS 托管場景中,網(wǎng)站所有者會持續(xù)為用于吸收潛在攻擊的帶寬付費——即使沒有此類攻擊正在進(jìn)行。一個更具成本效益和靈活性的選擇是識別攻擊,并按需擴(kuò)展以響應(yīng)它們。
本文標(biāo)題:服務(wù)器防攻擊-DDoS防護(hù)技術(shù)和軟硬件的解決方案
路徑分享:http://www.rwnh.cn/news16/315366.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計、服務(wù)器托管、網(wǎng)站內(nèi)鏈、營銷型網(wǎng)站建設(shè)、微信公眾號、企業(yè)建站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容