DDOS攻击原理和如何进行防御

DDoS攻击(分布式拒绝服务攻击)是一种网络攻击手段,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。

DDoS攻击(分布式拒绝服务攻击)是一种网络攻击手段,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击(DDoS)是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起集团行为,从而快速达到消耗网络资源,造成网络或系统瘫痪的攻击效果。

DDoS攻击原理大致分为以下三种:

通过发送大的数据包堵塞服务器带宽造成服务器线路瘫痪;

通过发送特殊的数据包造成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪;

通过发送大量合法请求占用服务器资源,使得正常用户无法获得服务。

如何防御DDOS攻击:

采用高性能的网络设备:选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。

网络架构


尽量避免NAT的使用:无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力。
充足的网络带宽保证:网络带宽直接决定了能抗受攻击的能力,当前至少要选择100M的共享带宽,最好是挂在1000M的主干上。
升级主机服务器硬件:在有网络带宽保证的前提下,请尽量提升硬件配置。
把网站做成静态页面或者伪静态:把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦。
增强操作系统的TCP/IP栈:Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDoS攻击的能力,只是默认状态下没有开启而已。
安装专业抗DDOS防火墙。

DDOS防火墙


HTTP 请求的拦截:如果恶意请求有特征,对付起来很简单:直接拦截它就行了。HTTP 请求的特征一般有两种:IP 地址和 User Agent 字段。
备份网站:你要有一个备份网站,或者最低限度有一个临时主页。生产服务器万一下线了,可以立刻切换到备份网站,不至于毫无办法。
部署CDN: CDN 指的是网站的静态内容分发到多个服务器,用户就近访问,提高速度。因此,CDN 也是带宽扩容的一种方法,可以用来防御 DDOS 攻击。

CDN

推荐阅读:

思科,推广其新的利用人工智能的安全和安全服务引擎(SSE)功能

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20