可怕的DDoS

出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等特点,DDoS攻击已经演变成全球性网络安全威胁。

本文大纲:

1、可怕的DDoS

2、DDoS攻击科普

 

3、DDoS防护科普

根据卡巴斯基的调查报告,DDoS攻击造成61%的公司无法访问其关键业务信息,38%公司无法访问其关键业务,33%的受害者因此有商业合同或者合同上的损失。

总结起来,现在的DDoS攻击具有以下趋势:

1.国际化

现在的DDoS攻击越来越国际化,而我国已经成为仅次于美国的第二大DDoS攻击受害国,而国内来自海外的DDoS攻击源占比也越来越高。

2.超大规模化

因为跨网调度流量越来越方便、流量购买价格越来越低廉,现在DDoS攻击流量规模越来越大。特别是2014年底,某云还遭受了高达450Gbps的攻击。

3.市场化

市场化势必带来成本优势,现在各种在线DDoS平台、肉鸡交易渠道层出不穷,使得攻击者能以很低的成本发起规模化攻击。针对流量获取方式的对比可以参考下表。

流量获取方式 在线DDOS平台购买API VPS 专属服务器 黑市购买 社交平台购买 肉鸡集群
价格 中等 中等
法律风险 中等 中等 中等
交易风险 中等
流量稳定性 不确定 稳定 稳定 不确定 不确定
IP资源数量 不确定 不确定 不确定
技术要求
交易货币要求 比特币 普通货币 普通货币 比特币 比特币,普通货币等

DDoS攻击科普

DDoS的攻击原理,往简单说,其实就是利用TCP/UDP协议规律,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者网络的目的,下面我们先简单回顾TCP“三次握手”与“四次挥手”以及UDP通信流程。

不同层面的防护

1.按攻击流量规模分类

较小流量:

小于1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的: 利用iptables或者DDoS防护应用实现软件层防护。

大型流量:

大于1000Mbps,但在DDoS清洗设备性能范围之内,且小于机房出口,可能影响相同机房的其他业务的:利用iptables或者DDoS防护应用实现软件层防护, 或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer;或者直接接入DDoS清洗设备。

超大规模流量:

在DDoS清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务的:联系运营商检查分组限流配置部署情况并观察业务恢复情况。

2.按攻击流量协议分类

syn/fin/ack等tcp协议包:

设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。

UDP/DNS query等UDP协议包:

对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。

http flood/CC等需要跟数据库交互的攻击:

这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数, 因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。

其他:

icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

接下来我们来亲自对网站服务器压力测试
为了让新手朋友不会linux命令也能简单运用,这边我优化了windows版本的测压工具,直接运行即可使用
准备工作:
1.准备一台VPS做跳板用于运行测压工具(最好不要在本机运行,隐私问题你懂的,用的是服务器流量和CPU,防止自己的电脑高并发奔溃了而且服务器还有很多用途哦)

这里推荐下vultr的服务器注册:限时冲25$送100美金
2.端口ping延迟检测工具
下载地址

3.代理IP提取工具
下载地址:此资源本站?钻石?会员限时免费赠送    注意:IP代理提取接口随时可能失效,失效的话自行代理IP网站接口生成!

4.阿虎的激光炮一枚
下载地址:此资源本站?钻石?会员福利限时六折优惠,免费更新服务。

声明:此工具只供测试自己服务器交流学习之用,使用务必遵守中国法律,不能用于非法用途,由此造成的所有后果由使用者自行承担。

搬瓦工注册链接:精品稳定服务器购买
此资源需要授权,在网站后台创建一个标题为“授权虎哥激光炮+您的网站会员名的工单”,下载了生成机器码复制到工单内容,并留下您的联系邮箱地址(一般3-5工作日即可完成授权并在工单回复下载链接,请不要重复提交相同工单,务必认真核对好机器码再发送,因自身原因发错机器码导致授权失败本站概不负责)。本站暂停QQ客服,有问题可以联系网站右下角在线客服或者后台提交相应工单。

各位代理商请知悉:因授权成本问题,下月1号起授权费用提价至1299元.敬请谅解.

特别提示:新手小白慎拍!不要把这当成万能工具,杠精勿拍!此服务只包含密钥授权和版本免费更新,不提供任何额外其他服务!

DDOS防御方法简述
异常流量的清洗过滤:
通过DDOS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
分布式集群防御:
这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
高防智能DNS解析:
高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。