忘记密码   免费注册 查看新帖 |

ChinaUnix.net

  平台 论坛 博客 文库 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 1192 | 回复: 2

什么是DDOS 如何防御? [复制链接]

论坛徽章:
0
发表于 2018-07-07 14:25 |显示全部楼层

DDoS(Distributed Denial of Service,分布式拒绝服务)

定义:

主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御

的攻击之一。

ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起

10G,100G的攻击。而要防御这样的攻击10G,100G带宽的成本却是100W,1000W….

分类:
网络层攻击:SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等等
应用层攻击:
效果:

占满网络带宽;
提交大量请求,使服务器超负荷运行,响应缓慢;
阻断某一用户访问服务器;
阻断某服务与特定系统或个人的通讯。

防护:
1.针对第一种,需要在运营商网络里进行攻击流量识别,清洗;

2.第二种需要对流量模型学习建模,防护引擎要有多种方式检测攻击流量并自动生成过滤特征。当然最重要是

修复应用的脆弱设计;抗DDOS设备主要的技术难点在于如何准确判断流量是攻击流量还是正常流量。流量清洗

回注是没多少技术含量的。当然光靠设备自动化防护是远远不够的,需要有应急团队的专业服务。那些直接说

不能防护的人不知是神马心态.


防御手段:

总体来说,从下面几个方面考虑:

硬件
单个主机
整个服务器系统


硬件:

1.增加带宽
带宽直接决定了承受攻击的能力,增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本非

常高。


2、提升硬件配置
在有网络带宽保证的前提下,尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置,选用知名

度高、 口碑好的产品。


3、硬件防火墙
将服务器放到具有DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能,可对抗SYN/ACK

攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击.

单个主机:
1、及时修复系统漏洞,升级安全补丁。

2、关闭不必要的服务和端口,减少不必要的系统加载项及自启动项,尽可能减少服务器中执行较少的进程,更

改工作模式

3、iptables

4、严格控制账户权限,禁止root登录,密码登录,修改常用服务的默认端口



整个服务器系统:

1. 负载均衡

使用负载均衡将请求被均衡分配到各个服务器上,减少单个服务器的负担。


2、CDN
CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块

,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡

技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的

CDN节点都有200G 的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。

3. 分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一

个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发

送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。



香港高防服务器   

x5650   6核12线程    8G内存    1000G硬盘     独享带宽10M     5+1(高防)IP    1200/月     20G单机防御

E3-1230  4核8线程   8G内存     1000G硬盘     独享带宽10M     2+1(高防)IP      1599/月   20G单机防御

E5-2450   8核16线程  16G内存    1000G硬盘    独享带宽10M     5+1(高防)IP      1800/月   20G单机防御




美国高防服务器

i3 4130    2核4线程   4G内存    1000G硬盘        带宽30M         2IP地址       600/月     3小时防御

E3-1230v2  4核8线程  8G内存    1000G硬盘        带宽100M        2IP地址       1099/月    3小时防御

E3-1230    4核8线程  16G内存   1000G硬盘        带框100M        2IP地址       1299/月     3小时防御       

E5-2650    8核16线程 32G内存   240G硬盘         带宽100M        2IP地址       1888/月     3小时防御

E5-2660*2  16核32线程 64G内存  4x1T的机械硬盘   带宽100M        2IP地址       3000/月     3小时防御


各位需要的老板可以联系我   1527052004

打赏鼓励一下!

论坛徽章:
0
发表于 2018-07-09 11:48 |显示全部楼层
学习了感谢楼主

论坛徽章:
0
发表于 2018-07-17 14:10 |显示全部楼层
回复 2# 夏尾鱼

可以加下我  以后不懂的可以找我   扣扣1527052004
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:wangnan@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP