DDoS攻击相信大家都已经耳闻了吧,是黑客经常采用而难以防范的攻击手段。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰,解决DDoS攻击问题成为网络服务商必须考虑的头等大事。
1、什么是DDoS?
分布式拒绝服务攻击(DDoS)是常见的网络攻击方法,它的英文全称为Distributed Denial of Service?简单来说,很多DoS攻击源一起攻击某台服务器就形成了DDOS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者将攻击程序通过代理程序安装在网络上的各个“肉鸡”上,代理程序收到指令时就发动攻击。
DDoS攻击的危害很大,而且很难防范,可以直接导致网站宕机、服务器瘫痪,造成权威受损、品牌蒙羞、财产流失等巨大损失,严重威胁着中国互联网信息安全的发展。
2、如何判断被DDoS了呢?
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络宽带的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法达到主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量的攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供的网络服务。
如何判断网站是否遭受了流量攻击?可通过ping命令来测试,如发现ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你主机接在同一交换机上的服务器也发访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可以采取Telnet主机服务器都是正常的,突然ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对流量攻击而言,资源耗尽攻击要容易判断一些,假如平时ping网站主机和访问网站都是正常,发现突然网站非常缓慢或无法访问了,而ping还可以ping通,则可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到会有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判断肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,ping自己的网站主机ping不通或者是丢包严重,而ping与自己的主机同在一交换机上的服务器则正常,造成这种原因的是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应ping命令,其实宽带还是有的,否则就ping不通接在同一交换机上的主机了。
随着DDOS攻击在互联网上的肆虐泛滥,使得DDoS的防范工作变得更加困难目前而言,黑客甚至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的成本如此之低,使用如此之嚣张,而且攻击了也没人管,那么,广大的网站用户应该采取怎样的措施进行有效的防御呢?下面介绍一下防御DDoS的基本方法。
1)保证服务器系统的安全
首先要确保服务器软件没有任何漏洞,防止攻击者入侵。确保服务器采用最新系统,并打上安全补丁。在服务器上删除未使用的服务,关闭未使用的端口。对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
2)隐藏服务器的真实IP地址
服务器前端加CDN中转(免费的有360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐藏服务器真实IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服务器上部署的其他域名也不能使用真实IP解析,全部都使用CDN来解析。
另外,防止服务器对外传送信息泄漏IP地址,最常见的情况是,服务器不要使用发送邮件功能,因为邮件头会泄漏服务器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。
总之,只要服务器的真实IP不泄露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以应付得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,需要购买一个高防的盾机来应付了,而服务器的真实IP同样需要隐藏。
对于用户来说,正常业务的开展是最根本的利益所在。随着人们对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。