2、关闭不必要的服务和端口。
3、整体扫描下服务器,看下存在什么问题,有漏洞及时打补丁;检查是否有影子账户,不是自己建立的账号;内容是否又被修改的痕迹等,如果发现问题及时进行清理。
4、重新设置账户密码,密码设置的复杂些;以及设置账户权限。
5、对服务器上的安全软件进行升级,或者是对防护参数进行重新设置,使他符合当时的环境。如果服务器上没有安装防护软件,可以看下服务器安全狗和网站安全狗。还可以将服务器添加到安全狗服云平台上,这样当有攻击发生时,可以快速知道,并进行处理等。您是否收到过这样的困扰?曾每月花费过数千上万元租用高防服务器,游戏端口依然被DDOS/CC打满游戏超卡,服务器IP被攻击打封玩家无法登陆 ,
大网波动频繁稳定性无法保证,服务器宕机无法预料那么您需要小蚁盾游戏云防护给您带来全新的游戏服务器使用体验 。
您可以自行到阿里云官方网站购买适合您使用的配置、宽带(建议选择华东区)作为游戏源服务器,权限只有您自己知道,保证数据安全。
防御方案一: 然后使用我们的小蚁高防IP,隐藏游戏真实IP,进行ddos/cc攻击防护,游戏加速防护,玩家在我们云防护内网畅玩,从而使您的服务器达到无视任何攻击。
防御方案二:使用我们的立体式防御系统,可隐藏客户真实服务器的IP地址,每个结点都会成为客户服务器的盾机被攻击的只能是结点,而且由于有多个结点做盾机,就算攻击是个强度非常大,而且持续非常久的话,哪怕还有一个结点服务器是活的,那么攻击就打不到客户真实的服务器上,而且还有很多备用节点,一旦哪个节点宕机,宕机监测系统便会马上启动备用节点,这样就保证了游戏和网站不会挂掉。
防御方案三:小蚁盾是一款专门解决 ddos 攻击 cc攻击的安全防护引擎。当您的应用程序与小蚁盾集成后,小蚁盾即刻进入运行状态,我们会为每个用户分配一个不同的ip,千人千面、一人一ip。当黑客发起攻击时,只有他自己受到影响,同时小蚁盾能够精准识别黑客,并直接拉入黑名单。如此一来黑客就无法得到新的ip,只能重新更换手机或电脑。这个原理既能够清除掉黑客,又能无视其攻击,还不影响其它用户。这正是,一次集成,终身受益。
安全总是相对的,再安全的服务器也有可能遭受到攻击。作为一个安全运维人员,要把握的原则是:尽量做好系统安全防护,修复所有已知的危险行为,同时,在系统遭受攻击后能够迅速有效地处理攻击行为,最大限度地降低攻击对系统产生的影响。
一、处理服务器遭受攻击的一般思路
系统遭受攻击并不可怕,可怕的是面对攻击束手无策,下面就详细介绍下在服务器遭受攻击后的一般处理思路。
1切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6修复程序或系统漏洞
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下 *** 作:
[root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值, *** 作如下:
[root@server ~]# ps -ef|grep @pts/3
531 6051 6049 0 19:23 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
这样就将可疑用户nobody从线上踢下去了。如果此用户再次试图登录它已经无法登录了。
3通过last命令查看用户登录事件
last命令记录着所有用户登录系统的日志,可以用来查找非授权用户的登录事件,而last命令的输出结果来源于/var/log/wtmp文件,稍有经验的入侵者都会删掉/var/log/wtmp以清除自己行踪,但是还是会露出蛛丝马迹在此文件中的。
三、查看系统日志
查看系统日志是查找攻击源最好的方法,可查的系统日志有/var/log/messages、/var/log/secure等,这两个日志文件可以记录软件的运行状态以及远程用户的登录状态,还可以查看每个用户目录下的bash_history文件,特别是/root目录下的bash_history文件,这个文件中记录着用户执行的所有历史命令。
四、检查并关闭系统可疑进程
检查可疑进程的命令很多,例如ps、top等,但是有时候只知道进程的名称无法得知路径,此时可以通过如下命令查看:
首先通过pidof命令可以查找正在运行的进程PID,例如要查找sshd进程的PID,执行如下命令:
然后进入内存目录,查看对应PID目录下exe文件的信息:
这样就找到了进程对应的完整执行路径。如果还有查看文件的句柄,可以查看如下目录:
[root@server ~]# ls -al /proc/13276/fd
通过这种方式基本可以找到任何进程的完整执行信息,此外还有很多类似的命令可以帮助系统运维人员查找可疑进程。例如,可以通过指定端口或者tcp、udp协议找到进程PID,进而找到相关进程:
在有些时候,攻击者的程序隐藏很深,例如rootkits后门程序,在这种情况下ps、top、netstat等命令也可能已经被替换,如果再通过系统自身的命令去检查可疑进程就变得毫不可信,此时,就需要借助于第三方工具来检查系统可疑程序,例如前面介绍过的chkrootkit、RKHunter等工具,通过这些工具可以很方便的发现系统被替换或篡改的程序。
五、检查文件系统的完好性
检查文件属性是否发生变化是验证文件系统完好性最简单、最直接的方法,例如可以检查被入侵服务器上/bin/ls文件的大小是否与正常系统上此文件的大小相同,以验证文件是否被替换,但是这种方法比较低级。此时可以借助于Linux下rpm这个工具来完成验证, *** 作如下:
对于输出中每个标记的含义介绍如下:
S 表示文件长度发生了变化M 表示文件的访问权限或文件类型发生了变化5 表示MD5校验和发生了变化D 表示设备节点的属性发生了变化L 表示文件的符号链接发生了变化U 表示文件/子目录/设备节点的owner发生了变化G 表示文件/子目录/设备节点的group发生了变化T 表示文件最后一次的修改时间发生了变化
如果在输出结果中有“M”标记出现,那么对应的文件可能已经遭到篡改或替换,此时可以通过卸载这个rpm包重新安装来清除受攻击的文件。
不过这个命令有个局限性,那就是只能检查通过rpm包方式安装的所有文件,对于通过非rpm包方式安装的文件就无能为力了。同时,如果rpm工具也遭到替换,就不能通过这个方法了,此时可以从正常的系统上复制一个rpm工具进行检测。
对文件系统的检查也可以通过chkrootkit、RKHunter这两个工具来完成,关于chkrootkit、RKHunter工具的使用,下次将展开介绍。
根据全球 游戏 和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的 游戏 市场收入超过美国和日本,成为全球榜首。
游戏 行业的快速发展、高额的攻击利润、日趋激烈的行业竞争,让中国 游戏 行业的进军者们,每天都面临业务和安全的双重挑战。
游戏 行业一直是竞争、攻击最为复杂的一个江湖。 曾经多少充满激情的创业团队、玩法极具特色的 游戏 产品,被互联网攻击的问题扼杀在摇篮里;又有多少运营出色的 游戏 产品,因为遭受DDoS攻击,而一蹶不振。
DDoS 攻击的危害
小蚁安盾安全发布的2017年上半年的 游戏 行业DDoS攻击态势报告中指出:2017年1月至2017年6月, 游戏 行业大于300G以上的攻击超过1800次,攻击最大峰值为608G; 游戏 公司每月平均被攻击次数高达800余次。
目前, 游戏 行业因DDoS攻击引发的危害主要集中在以下几点:
• 90%的 游戏 业务在被攻击后的2-3天内会彻底下线。
• 攻击超过2-3天以上,玩家数量一般会从几万人下降至几百人。
• 遭受DDoS攻击后, 游戏 公司日损失可达数百万元。
为什么 游戏 行业是 DDoS 攻击的重灾区?
据统计表明,超过50%的DDoS和CC攻击,都在针对 游戏 行业。 游戏 行业成为攻击的重灾区,主要有以下几点原因:
• 游戏 行业的攻击成本低,几乎是防护成本的1/N,攻防两端极度不平衡。 随着攻击方的手法日趋复杂、攻击点的日趋增多,静态防护策略已无法达到较好的效果,从而加剧了这种不平衡。
• 游戏 行业生命周期短。 一款 游戏 从出生到消亡,大多只有半年的时间,如果抗不过一次大的攻击,很可能就死在半路上。黑客也是瞄中了这一点,认定只要发起攻击, 游戏 公司一定会给保护费。
• 游戏 行业对连续性的要求很高,需要7 24小时在线。 因此如果受到DDoS攻击,很容易会造成大量的玩家流失。在被攻击的2-3天后,玩家数量从几万人掉到几百人的事例屡见不鲜。
• 游戏 公司之间的恶性竞争,也加剧了针对行业的DDoS攻击。
游戏 行业的 DDoS 攻击类型
• 空连接 攻击者与服务器频繁建立TCP连接,占用服务端的连接资源,有的会断开、有的则一直保持。空连接攻击就好比您开了一家饭馆,黑帮势力总是去排队,但是并不消费,而此时正常的客人也会无法进去消费。
• 流量型攻击 攻击者采用UDP报文攻击服务器的 游戏 端口,影响正常玩家的速度。用饭馆的例子,即流量型攻击相当于黑帮势力直接把饭馆的门给堵了。
• CC攻击 攻击者攻击服务器的认证页面、登录页面、 游戏 论坛等。还是用饭馆的例子,CC攻击相当于,坏人霸占收银台结账、霸占服务员点菜,导致正常的客人无法享受到服务。
• 假人攻击 模拟 游戏 登录和创建角色过程,造成服务器人满为患,影响正常玩家。
• 对玩家的DDoS攻击 针对对战类 游戏 ,攻击对方玩家的网络使其 游戏 掉线或者速度慢。
• 对网关DDoS攻击 攻击 游戏 服务器的网关,导致 游戏 运行缓慢。
• 连接攻击 频繁的攻击服务器,发送垃圾报文,造成服务器忙于解码垃圾数据。
游戏 安全痛点
• 业务投入大,生命周期短 一旦出现若干天的业务中断,将直接导致前期的投入化为乌有。
• 缺少为安全而准备的资源 游戏 行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长,而安全需求往往没有被 游戏 公司优先考虑。
• 可被攻击的薄弱点多 网关、带宽、数据库、计费系统都可能成为 游戏 行业攻击的突破口,相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。
• 涉及的协议种类多 难以使用同一套防御模型去识别攻击并加以防护,许多 游戏 服务器多用加密私有协议,难以用通用的挑战机制进行验证。
• 实时性要求高,需要7 24小时在线 业务不能中断,成为DDoS攻击容易奏效的理由。
• 行业恶性竞争现象猖獗 DDoS攻击成为打倒竞争对手的工具。
如何判断已遭受 DDoS 攻击?
假定已排除线路和硬件故障的情况下,突然发现连接服务器困难、正在 游戏 的用户掉线等现象,则说明您很有可能是遭受了DDoS攻击。
目前, 游戏 行业的IT基础设施一般有 2 种部署模式:一种是采用云计算或者托管IDC模式,另外一种是自行部署网络专线。无论是前者还是后者接入,正常情况下, 游戏 用户都可以自由流畅地进入服务器并进行 游戏 娱乐 。因此,如果突然出现以下几种现象,可以基本判断是被攻击状态:
• 主机的IN/OUT流量较平时有显著的增长。
• 主机的CPU或者内存利用率出现无预期的暴涨。
• 通过查看当前主机的连接状态,发现有很多半开连接;或者是很多外部IP地址,都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接,则说明遭到了TCP多连接攻击。
• 游戏 客户端连接 游戏 服务器失败或者登录过程非常缓慢。
• 正在进行 游戏 的用户突然无法 *** 作、或者非常缓慢、或者总是断线。
DDoS 攻击缓解最佳实践
目前,有效缓解DDoS攻击的方法可分为 3 大类:
• 架构优化
• 服务器加固
• 商用的DDoS防护服务
您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署 DNS 智能解析
通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
• 屏蔽未经请求发送的DNS响应信息 典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
• 丢弃快速重传数据包 即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
• 启用TTL 如果DNS服务器已经将响应信息成功发送了,应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大量查询请求时,可以屏蔽掉不需要的数据包。
• 丢弃未知来源的DNS查询请求和响应数据 通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击(DDoS攻击),而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
• 丢弃未经请求或突发的DNS请求 这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击 (non-flood) 时段,可以创建一个白名单,添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
• 启动DNS客户端验证 伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
• 对响应信息进行缓存处理 如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
• 使用ACL的权限 很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
• 利用ACL,BCP38及IP信誉功能 托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡
通过部署负载均衡(SLB)服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络
通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽
通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道不止是日常的量,有一定的带宽余量可以有利于处理大规模攻击。
服务器安全加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
• 确保服务器的系统文件是最新的版本,并及时更新系统补丁。
• 对所有服务器主机进行检查,清楚访问者的来源。
• 过滤不必要的服务和端口。例如,>服务器被DDOS攻击最佳解决方案是什么?报网警有用么?
目前,有效缓解DDoS攻击的解决方案可分为 3 大类:
架构优化
服务器加固
商用的DDoS防护服务
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署DNS智能解析通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
丢弃快速重传数据包
即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
启用TTL
如果DNS服务器已经将响应信息成功发送了,应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。
每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。
丢弃未知来源的DNS查询请求和响应数据
通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。
白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
使用ACL的权限
很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
利用ACL , BCP38及IP信营功能
托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道
不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。
服务器加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如, >1在内部部署的数据中心保护自己的系统,以便在尝试解决更复杂广泛的问题之前减轻威胁。关闭任何可以使用的机器实例,并首先重置敏感系统的密码。
2联系企业的云计算服务提供商,他们将遵循合作协议,提供更多的帮助,其中包括自动关机程序。
3确定攻击事件的规模,并尽快提醒所有可能的目标。根据企业的业务连续性计划,与所有内部和外部利益相关者进行沟通。如果个人身份信息丢失或泄露,那么企业也需要联系相关监管机构。
4在攻击事件发生后,企业应立即审查和更新其安全协议,作为强大的业务连续性战略的一部分。应该确定系统的根本原因,以避免攻击事件再次发生。
众所周知,ddos攻击就是流量攻击,而对抗他的方法就是资源对抗,所以一般来说高防IP就是常见的防御ddos的方法,那么什么是高防IP呢?这里小蚁云安全就给各位老板们讲讲:
新式高防技术,替身式防御,具备4Tbps高抗D+流量清洗功能,无视DDoS,CC攻击,不用迁移数据,隐藏源服务器IP,只需将网站解析记录修改为小蚁DDoS高防IP,将攻击引流至小蚁集群替身高防服务器,是攻击的IP过滤清洗拦截攻击源,正常访问的到源服务器,保证网站快速访问或服务器稳定可用,接入半小时后,即可正式享受高防服务。
以上就是高防IP的介绍,那么他的原理是什么呢?
用户购买高防IP,把域名解析到高防IP上(web业务只要把域名指向高防IP即可,非web业务,把业务IP换成高防IP即可)。同时在高防IP上设置转发规则,所有公网流量都会走高防IP,通过端口协议转发的方式,将用户的访问通过高防IP转发到源站IP。
在这一过程中,将恶意攻击流量在高防IP上进行清洗过滤后,把正常访问流量返回给源站IP,确保源站IP能正常稳定访问的安全防护。
通常在租用服务器后,服务商会提供一个IP给用户用于防御和管理。如果IP出现异常流量,机房中的硬件防火墙,就会对恶意流量进行识别,并进行过滤和清洗,帮助用户防御恶意流量。
在IP防御不了的情况下,会暂时对该IP进行屏蔽,这时会造成服务器不能正常访问,业务无法正常开展。
为什么人家会攻击呢?
1行业竞争
这是经济市场无法避免的现象,中国有句老话叫同行是冤家,从实体行业上升至互联网大环境,总会有不计手段的对手。这种行业内的恶性竞争可能导致网站被蓄意攻击,云服务器瘫痪,目的一般很清晰,瞄准的是用户资源。
2网络黑客
每天都有数以万计的服务器被黑客攻击,常见的手段比如DDoS攻击,成本和门槛都非常低,却对运营者造成非常大的困扰。黑客的目的很难说,有可能为了炫技,或者是为了账号信息然后植入各种广告程序等等。
3程序漏洞
很多Web系统采用的是开源框架,WordPress、Structs2等等,这些框架常常被爆出安全漏洞,以及我们所选用的 *** 作系统,不管是Windows还是Linux,如果发现漏洞补丁不及时更新的话,迟早会被利用攻击
DDoS,英文DistributedDenialofService,即分布式拒绝服务。DDoS攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。DDoS攻击会带来巨大的损失,而黑客发起一次攻击可能只需要几十元的成本。道高一尺魔高一丈。
一般会从发起DDoS攻击的网络层次上进行分类,比如:畸形报文、传输层DDoS攻击、Web应用DDoS攻击、Web应用层攻击、DNSDDoS攻击、连接型DDoS攻击(TCP慢速连接攻击)等。
本文从另一个维度进行分类,将DDoS攻击分为:
基于流量的DDoS攻击:主要现象是服务器上流量太大,导致其与Internet的连接完全饱和。从其他地方ping服务器时,丢包率很高,有时您也会看到非常高的延迟(ping时间值很高)。
基于负载的DDoS攻击:主要现象当您遇到基于负载的DDoS时,您会注意到负载平均值异常高(或CPU,RAM或磁盘使用情况,具体取决于您的平台和详细信息)。虽然服务器似乎没有做任何有用的事情,但它非常繁忙。通常,日志中会有大量条目表明异常情况。这通常来自很多不同的地方并且是DDoS,但情况不一定如此。甚至不需要很多不同的主机。
基于漏洞的DDoS攻击:如果您的服务在启动后会非常快速地崩溃,特别是如果您可以在崩溃之前建立请求模式并且请求是非典型的或与预期使用模式不匹配,那么您可能正在体验基于漏洞的DoS。这可以来自只有一个主机(几乎任何类型的互联网连接)或许多主机。
DDoS防御是一种资源对抗的防御,攻击者由于采用的是违法手段获取的失陷主机(肉鸡),所以攻击成本远远小于防御成本,这是攻防不对等的原因。
一般认为防御DDoS攻击最有效的方式是使用清洗设备对所有流量进行“清洗”,尽可能的筛去攻击流量,然后将剩余流量给与到应用服务器。但是不是所有的DDoS攻击都适用清洗方法。需要根据不同种类针对性的分析和解决。
解决方案
1、关于这个问题,当攻击已经发生时你几乎无能为力。
2、最好的长期解决方案是在互联网上的许多不同位置托管您的服务,这样对于攻击者来说他的DDoS攻击成本会更高。
3、这方面的策略取决于您需要保护的服务;DNS可以使用多个权威名称服务器,具有备份MX记录和邮件交换器的SMTP以及使用循环DNS或多宿主的>
4、负载均衡设备并不是解决此问题的有效方法,因为负载均衡设备本身也会遇到同样的问题并且只会造成瓶颈。
5、IPTables或其他防火墙规则无济于事,因为问题是您的管道已经饱和。一旦防火墙看到连接,就已经太晚了;您的网站带宽已被消耗。你用连接做什么都没关系;当传入流量恢复正常时,攻击会缓解或完成。
6、内容分发网络(CDN)以及专业安全与网络性能公司的DDoS清理服务。这将是缓解这些类型的攻击的积极措施,并且在许多不同的地方拥有大量的可用带宽。请注意:要隐藏服务器的IP。
7、此外一些托管服务提供商、云计算厂商在减轻这些攻击方面比其他提供商更好。因为规模越大,会拥有更大带宽,自然也会更有d性。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)