美国科技公司Neustar 9月发布的报告显示,2020年上半年,DDoS攻击数量同比增加了151%。由于新冠疫情的影响,许多企业和组织转向在家办公和远程协作,互联网使用量增加了50%至70%,随之而来的DDoS攻击的流量、类型和强度都不断呈指数型增长。最明显的是2月份针对亚马逊Web服务客户端的2.3 Tbps攻击,这也被业界认为是史上最大的DDoS攻击。
经过多年的发展,DDoS攻击已经“进化”得越来越“高级”,根据行业内近几年的数据及相关报告,我们发现国内的DDoS攻击呈现出次数多、强度高、手法新、来源广的特点。比如被称为行业毒瘤的UDP反射放大型攻击,只需攻击者向Memcache服务器发送小字节请求,就可以引发服务器将数万倍的响应数据包发送给目标,形成灾难级的DDoS攻击。
想要完全杜绝DDoS攻击并不现实,但由于攻击和防御都是需要成本开销的,当我们通过适当的措施增强识别和抵御DDoS攻击的能力,尽最大可能去增加、消耗攻击成本,让绝大多数攻击者知难而退,从而成功防住DDoS攻击。
以下是保护网络系统免受DDoS攻击的10种行之有效的策略:
1、保证服务器系统的安全:首先要确保服务器软件没有漏洞,保证系统和网络资源都采用最新系统,并打上安全补丁,防止攻击者入侵。
2、采用高性能的网络设备:首先要保证别让网络设备成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备时要充分考虑其性能,尽量选用知名度高、口碑好的产品。
3、开通充足的网络带宽:网络带宽直接决定了承受攻击的能力,假如仅有10M带宽的话,无论采取什么策略都很难对抗住洪水攻击。
4、有效利用云的资源:与私有网络不同,云拥有更多的带宽和资源。当DDoS攻击的规模增加时,仅仅依赖于现场硬件可能是杯水车薪。基于云的防御服务可以更早、更有效地检测到恶意流量。
5、实现网站静态化:大量事实证明,把网站尽可能做成静态页面或者伪静态,可以提高抗攻击能力。如果需要动态脚本调用,可以单独使用一台主机,避免遭受攻击时牵连到主服务器。
6、禁用未使用的服务:黑客能攻击的应用程序和服务越少越好,因此应当关闭所有不需要和未使用的服务及应用程序,以提高网络的安全性。
7、隐藏服务器的真实IP:不要把域名直接解析到服务器的真实IP地址,避免让服务器的真实IP暴露。在服务器前端加CDN中转,用于隐藏服务器的真实IP,全部都使用CDN来进行解析。
8、建立冗余网络:创建冗余网络资源是一种行之有效的安全策略,当服务器受到攻击时,其他组件可以处理额外的访问流量。另外可以将不同的服务器定位在不同的地理位置,这样攻击者就更难锁定系统。
9、保护DNS服务器:攻击者可以通过受损的DNS服务器使Web服务器脱机。实践冗余,并将服务器放置在多个数据中心实现负载均衡。此外还可以咨询基于云的DNS提供商,其在全球各地提供高带宽和多个数据中心,增加了距离从而使基础设施难以突破。
10、制定DDoS防御机制:事前制定一个整体的防御策略是最根本的主动防御手段,抵御DDoS攻击是一个系统性工程,仅依靠单一策略很难发挥奇效,周全的计划包含了流程、工具、人员等综合措施,以保证攻击来临时发现更早、响应更快、措施更有效、造成的影响最低。
京公网安备 11010802033237号
