一、DDoS攻击在全球金融领域肆虐
金融行业服务器如何防范DDoS攻击
二、DDoS攻击强度的激增让金融行业无能为力
关于金融行业此类事件的事件再次表明,他们的在线服务是他们的致命弱点。随着攻击强度的增加,就像那些记录的每秒或每秒甚至太字节数超过几百千兆字节的攻击大小一样,现在的DDoS攻击强度远远超过了企业自身具备的防御能力。
大规模DDoS攻击正是以足够大小的攻击压倒企业可利用的带宽。
通过使受害者的带宽能力饱和,攻击者使企业首当其冲受到大量冲击。额外的带宽现在似乎是一个合理的缓解DDoS的解决方案。然而,企业发现处理如此巨大的攻击流量是徒劳的。
三、最后一点是壹基比小喻对于金融行业防御DDoS攻击的建议
常见的DDoS保护解决方案仍然有效,前提是攻击本身不足以超出互联网连接的能力甚至硬件的性能容量。目前的攻击大小超过每秒数百千兆字节还不是那么普遍,以至于有限数量的通信服务提供商配备了具有攻击能力的带宽容量和攻击设计的硬件。因此,金融企业的可行做法是将流量重新路由到外部保护方,以便过滤恶意流量,确保即使在遭受巨大DDoS攻击的过程中也可以保持全天候可访问性。DDOS
DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击
DDoS攻击概念
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到25G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
攻击运行原理
>
广大的网站用户应该采纳怎样的办法进行有效的防护呢下面我就介绍一下防护DDoS的根本方法。
1保证服务器体系的安全
首先要保证服务器软件没有任何漏洞,避免进犯者侵略。保证服务器采用最新体系,并打上安全补丁。在服务器上删去未运用的服务,封闭未运用的端口。对于服务器上运转的网站,保证其打了最新的补丁,没有安全漏洞。
2隐藏服务器实在IP
服务器前端加CDN中转(免费的有百度云加快、360网站卫士、加快乐、安全宝等),假如资金富余的话,能够购买高防的盾机,用于隐藏服务器实在IP,域名解析运用CDN的IP,一切解析的子域名都运用CDN的IP地址。
此外,服务器上布置的其他域名也不能运用实在IP解析,全部都运用CDN来解析。另外,避免服务器对外传送信息走漏IP,最常见的是,服务器不运用发送邮件功能,假如非要发送邮件,能够通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP。
DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。那么如何才能采取措施有效的应对DdoS攻击呢?下面我们从两个方面进行介绍。(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为很多服务器的流行做法,例如>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)