當(dāng)前位置:首頁 >  IDC >  安全 >  正文

如何低成本做到有效的防御DDoS攻擊

 2018-12-03 09:00  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

如何低成本做到有效的防御DDoS攻擊。

相信大家應(yīng)該還沒有忘記2009年5月19日的全國性斷網(wǎng)事件,導(dǎo)致全國性斷網(wǎng)的起因是一次DDoS網(wǎng)絡(luò)攻擊,事件過去快十年了,隨著互聯(lián)網(wǎng)的高速發(fā)展和深入應(yīng)用,現(xiàn)在網(wǎng)絡(luò)攻擊態(tài)勢怎么樣了呢?

通過下面這一張圖表,我們可以直觀的看出,隨著互聯(lián)網(wǎng)的高速發(fā)展和深入應(yīng)用,全球范圍內(nèi)的DDoS攻擊亦隨之呈現(xiàn)了上揚(yáng)趨勢。下圖是通過中國電信旗下網(wǎng)站截取的統(tǒng)計(jì)圖表,圖內(nèi)展示了從2013年1月至今的5年內(nèi),全球范圍內(nèi)DDoS攻擊趨勢圖。

中國電信旗下網(wǎng)站展示的2013年至今5年內(nèi)DDoS攻擊趨勢

從上圖可以看出,近年來DDoS網(wǎng)絡(luò)攻擊處于高發(fā)時(shí)期,同時(shí)DDoS攻擊會(huì)給整個(gè)利用互聯(lián)網(wǎng)經(jīng)營的企業(yè),帶來非常大的經(jīng)濟(jì)損失,是令全球企事業(yè)單位甚至個(gè)人用戶頭疼的事情。*在2014年“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議”時(shí)就指出:沒有網(wǎng)絡(luò)安全,就沒有國家安全。面對如此嚴(yán)峻的形式,就拿DDoS網(wǎng)絡(luò)攻擊真的就沒有更好的防御措施嗎?

到底什么是DDoS攻擊呢?

分布式拒絕服務(wù)攻擊攻擊(Distributed Denial of Service),也就是常常被大家簡稱為DDOS的網(wǎng)絡(luò)攻擊。

百度百科對DDoS攻擊的定義相對抽象:分布式拒絕服務(wù)(DDoS)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。

本文引用支付寶阮一峰在其博客的舉例,來形象的告訴你DDoS是如何發(fā)動(dòng)攻擊的:我開了一家餐廳,正常情況下,最多可以容納30個(gè)人同時(shí)進(jìn)餐。你直接走進(jìn)餐廳,找一張桌子坐下點(diǎn)餐,馬上就可以吃到東西。但是很不幸,我得罪了一個(gè)流氓,他派出300個(gè)人同時(shí)涌進(jìn)餐廳,這些人看上去跟正常的顧客一樣,每個(gè)都說"趕快上餐"。但是,餐廳的容量只有30個(gè)人,根本不可能同時(shí)滿足這么多的點(diǎn)餐需求,加上他們把門口都堵死了,里三層外三層,正常用餐的客人根本進(jìn)不來,實(shí)際上就把我的餐廳給癱瘓了。

這就是DDoS 攻擊的原理和導(dǎo)致的后果,它能在短時(shí)間內(nèi)發(fā)起大量的訪問請求,耗盡網(wǎng)絡(luò)資源或服務(wù)器資源,讓網(wǎng)絡(luò)癱瘓或者服務(wù)器無法響應(yīng)正常的訪問,最終造成網(wǎng)站實(shí)質(zhì)性的無法訪問。

從技術(shù)角度講,DDoS攻擊不是一種攻擊,而是一大類攻擊的總稱,它有幾十種類型,而且新的攻擊方法還在不斷被發(fā)明出來,比如SYN/TCP/UDP/ICMP Flood,及其變種Land/Teardrop/Smurf/Ping of Death,最常見的就是CC攻擊。

抵御DDoS的難點(diǎn)?

前面已經(jīng)敘述過DDoS攻擊的特點(diǎn),主要是消耗掉被攻擊目標(biāo)的硬件、網(wǎng)絡(luò)等資源,導(dǎo)致正常的請求無法抵達(dá)目標(biāo)服務(wù)器。那么,過濾掉這些非正常的流量就變得很重要了,但是識(shí)別、處理并過濾掉這些攻擊流量,是人工無法實(shí)現(xiàn)的,是需要耗費(fèi)大量服務(wù)器、網(wǎng)絡(luò)帶寬等等資源的,換句話說成本是比較高的,普通用戶是很難搭建起如此龐大的防御網(wǎng)。

高成本,這就成了抵御DDoS攻擊最大的難點(diǎn)。

如何有效的抵御DDoS攻擊?

簡單來說,就是實(shí)現(xiàn)攔截惡意請求。

要實(shí)現(xiàn)“攔截惡意請求”的背后,需要投入巨資,配套諸多的軟硬件及策略做支撐,比如,專業(yè)硬件防火墻,更大的帶寬容量、更多的IP地址、更專業(yè)的防護(hù)策略等等,有了這一整套解決方案,方能做到精準(zhǔn)識(shí)別并攔截。

因?yàn)檫@種做法的投入比較大,一般服務(wù)商比較難以支撐,所以并不是所有服務(wù)商都具備如此能力。為了更加有效的抵御DDoS攻擊,并降低用戶的防御成本,更多的服務(wù)商選擇為整個(gè)數(shù)據(jù)中心賦予這樣的防御能力。

比如,國內(nèi)老牌云服務(wù)提供商西部數(shù)碼,成立十六年來,專注于互聯(lián)網(wǎng)接入服務(wù),服務(wù)中國數(shù)十萬網(wǎng)站,深知用戶的痛點(diǎn)并積極尋求解決方案。最終西部數(shù)碼選擇與運(yùn)營商合作,共建了一個(gè)T級(jí)帶寬接入的高防數(shù)據(jù)中心,并配套了一整套完整的硬件防護(hù)設(shè)備,通過這樣的解決方案,整個(gè)在這個(gè)數(shù)據(jù)中心的用戶將受到保護(hù),并采用類似SaaS方式面向用戶提供抵御DDoS服務(wù)降低用戶使用成本。

西部數(shù)碼這樣的解決方案,有如下優(yōu)勢:

一、 海量防護(hù)帶寬容量。

前文敘述過,當(dāng)DDoS來臨之際,帶寬作為非常重要的資源,將率先迎接挑戰(zhàn),而西部數(shù)碼高防數(shù)據(jù)中心1T超大防護(hù)帶寬的接入,單機(jī)最高可提供500G的惡意流量攻擊防御與清洗需求,可滿足各類用戶需求。

二、 適用多類攻擊。

配備硬件云集群防火墻針,經(jīng)過實(shí)際測試,可針對各類DDoS泛洪攻擊,如SYN、TCP、UDP、ICMP Flood,及其變種Land、Teardrop、Smurf、Ping of Death等均有顯著防御效果。

三、 黑洞自動(dòng)解封。

當(dāng)DDoS攻擊停止或流量低于防御峰值,系統(tǒng)封禁狀態(tài)自動(dòng)解除,無需等待,減少業(yè)務(wù)不可用時(shí)間。

四、 全業(yè)務(wù)場景接入

支持網(wǎng)站和非網(wǎng)站防護(hù)接入,為ERP、郵局、OA等企業(yè)應(yīng)用以及游戲、電商、流媒體等提供有效防護(hù)。

五、 流量實(shí)時(shí)監(jiān)控

在DDoS攻擊來臨之時(shí),還可提供攻擊流量日志記錄、多維度防御圖表,幫助用戶隨時(shí)掌握業(yè)務(wù)受攻擊情況,部署并啟動(dòng)應(yīng)急預(yù)案。

六、 更低成本實(shí)現(xiàn)更有效的防御。

在數(shù)據(jù)中心層面部署硬件防護(hù)措施,并充分利用數(shù)據(jù)中心的事實(shí)可調(diào)配超大帶寬,不用每一位有需求的用戶都去部署防護(hù),采用包月等形式支付服務(wù)費(fèi)用,即可以實(shí)現(xiàn)有效的防護(hù),還可以為用戶節(jié)省至少90%的成本。西部數(shù)碼還向用戶免費(fèi)提供30G基礎(chǔ)防御,獨(dú)立的防護(hù)資源,可抵御多類DDoS攻擊。

綜上所述,DDoS攻擊確實(shí)存在難點(diǎn),但也并不是沒有對應(yīng)的解決方案,站在企業(yè)運(yùn)維角度,在被攻擊時(shí)同時(shí)還需要及時(shí)報(bào)警,并積極配合警方調(diào)查取證;同時(shí),雖然有了應(yīng)對的解決方案,自身也還是需要更加重視網(wǎng)絡(luò)安全,做好日常的維護(hù)監(jiān)控措施及應(yīng)急預(yù)案。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
ddos攻擊
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對我國電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長13%,增幅超過過去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國網(wǎng)安產(chǎn)業(yè)成長之星

    6月21日,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說安全”提供研究支持的“2023年中國網(wǎng)安產(chǎn)業(yè)競爭力50強(qiáng)、成長之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競爭力再次榮登“2023年中國網(wǎng)安產(chǎn)業(yè)成長之星”榜單。據(jù)悉,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦