怎么防止服務器被大流量攻擊？

由于DDoS攻擊往往采取合法的數(shù)據(jù)請求技術，再加上傀儡機器，造成DDoS攻擊成為目前最難防御的網(wǎng)絡攻擊之一。

怎么防止服務器被大流量攻擊？
據(jù)美國最新的安全損失調查報告，DDoS攻擊所造成的經(jīng)濟損失已經(jīng)躍居第一。傳統(tǒng)的網(wǎng)絡設備和周邊安全技術，例如防火墻和IDSs(Intrusion Detection Systems)，速率限制，接入限制等均無法提供非常有效的針對DDoS攻擊的保護，需要一個新的體系結構和技術來抵御復雜的DDoS拒絕服務攻擊。

DDoS攻擊揭秘
DDoS攻擊主要是利用了internet協(xié)議和internet基本優(yōu)點——無偏差地從任何的源頭傳送數(shù)據(jù)包到任意目的地。

DDoS攻擊分為兩種：要么大數(shù)據(jù)，大流量來壓垮網(wǎng)絡設備和服務器，要么有意制造大量無法完成的不完全請求來快速耗盡服務器資源。有效防止DDoS攻擊的關鍵困難是無法將攻擊包從合法包中區(qū)分出來：IDS進行的典型“簽名”模式匹配起不到有效的作用；許多攻擊使用源IP地址欺騙來逃脫源識別，很難搜尋特定的攻擊源頭。

有兩類最基本的DDoS攻擊：

●帶寬攻擊：這種攻擊消耗網(wǎng)絡帶寬或使用大量數(shù)據(jù)包淹沒一個或多個路由器、服務器和防火墻；帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數(shù)據(jù)包被傳送到特定目的地；為了使檢測更加困難，這種攻擊也常常使用源地址欺騙，并不停地變化。

●應用攻擊：利用TCP和HTTP等協(xié)議定義的行為來不斷占用計算資源以阻止它們處理正常事務和請求。HTTP半開和HTTP錯誤就是應用攻擊的兩個典型例子。

DDoS威脅日益致命
DDoS攻擊的一個致命趨勢是使用復雜的欺騙技術和基本協(xié)議，如HTTP，Email等協(xié)議，而不是采用可被阻斷的非基本協(xié)議或高端口協(xié)議，非常難識別和防御，通常采用的包過濾或限制速率的措施只是通過停止服務來簡單停止攻擊任務，但同時合法用戶的請求也被拒絕，造成業(yè)務的中斷或服務質量的下降；DDoS事件的突發(fā)性，往往在很短的時間內，大量的DDoS攻擊數(shù)據(jù)就可是網(wǎng)絡資源和服務資源消耗殆盡。

現(xiàn)在的DDoS防御手段不夠完善
不管哪種DDoS攻擊，，當前的技術都不足以很好的抵御。現(xiàn)在流行的DDoS防御手段——例如黑洞技術和路由器過濾，限速等手段，不僅慢，消耗大，而且同時也阻斷有效業(yè)務。如IDS入侵監(jiān)測可以提供一些檢測性能但不能緩解DDoS攻擊，防火墻提供的保護也受到其技術弱點的限制。其它策略，例如大量部署服務器，冗余設備，保證足夠的響應能力來提供攻擊防護，代價過于高昂。

黑洞技術
黑洞技術描述了一個服務提供商將指向某一目標企業(yè)的包盡量阻截在上游的過程，將改向的包引進“黑洞”并丟棄，以保全運營商的基礎網(wǎng)絡和其它的客戶業(yè)務。但是合法數(shù)據(jù)包和惡意攻擊業(yè)務一起被丟棄，所以黑洞技術不能算是一種好的解決方案。被攻擊者失去了所有的業(yè)務服務，攻擊者因而獲得勝利。

路由器
許多人運用路由器的過濾功能提供對DDoS攻擊的防御，但對于現(xiàn)在復雜的DDoS攻擊不能提供完善的防御。

路由器只能通過過濾非基本的不需要的協(xié)議來停止一些簡單的DDoS攻擊，例如ping攻擊。這需要一個手動的反應措施，并且往往是在攻擊致使服務失敗之后。另外，現(xiàn)在的DDoS攻擊使用互聯(lián)網(wǎng)必要的有效協(xié)議，很難有效的濾除。路由器也能防止無效的或私有的IP地址空間，但DDoS攻擊可以很容易的偽造成有效IP地址。

基于路由器的DDoS預防策略——在出口側使用uRPF來停止IP地址欺騙攻擊——這同樣不能有效防御現(xiàn)在的DDoS攻擊，因為uRPF的基本原理是如果IP地址不屬于應該來自的子網(wǎng)網(wǎng)絡阻斷出口業(yè)務。然而，DDoS攻擊能很容易偽造來自同一子網(wǎng)的IP地址，致使這種解決法案無效。

本質上，對于種類繁多的使用有效協(xié)議的欺騙攻擊，路由器ACLs是無效的。包括：

●SYN、SYN-ACK、FIN等洪流。

●服務代理。因為一個ACL不能辨別來自于同一源IP或代理的正當SYN和惡意SYN，所以會通過阻斷受害者所有來自于某一源IP或代理的用戶來嘗試停止這一集中欺騙攻擊。

●DNS或BGP。當發(fā)起這類隨機欺騙DNS服務器或BGP路由器攻擊時，ACLs——類似于SYN洪流——無法驗證哪些地址是合法的，哪些是欺騙的。

ACLs在防御應用層（客戶端）攻擊時也是無效的，無論欺騙與否，ACLs理論上能阻斷客戶端攻擊——例如HTTP錯誤和HTTP半開連接攻擊，假如攻擊和單獨的非欺騙源能被精確的監(jiān)測——將要求用戶對每一受害者配置數(shù)百甚至數(shù)千ACLs，這其實是無法實際實施的。

防火墻
首先防火墻的位置處于數(shù)據(jù)路徑下游遠端，不能為從提供商到企業(yè)邊緣路由器的訪問鏈路提供足夠的保護，從而將那些易受攻擊的組件留給了DDoS 攻擊。此外，因為防火墻總是串聯(lián)的而成為潛在性能瓶頸，因為可以通過消耗它們的會話處理能力來對它們自身進行DDoS攻擊。

其次是反常事件檢測缺乏的限制，防火墻首要任務是要控制私有網(wǎng)絡的訪問。一種實現(xiàn)的方法是通過追蹤從內側向外側服務發(fā)起的會話，然后只接收“不干凈”一側期望源頭發(fā)來的特定響應。然而，這對于一些開放給公眾來接收請求的服務是不起作用的，比如Web、DNS和其它服務，因為黑客可以使用“被認可的”協(xié)議（如HTTP）。

第三種限制，雖然防火墻能檢測反常行為，但幾乎沒有反欺騙能力——其結構仍然是攻擊者達到其目的。當一個DDoS攻擊被檢測到，防火墻能停止與攻擊相聯(lián)系的某一特定數(shù)據(jù)流，但它們無法逐個包檢測，將好的或合法業(yè)務從惡意業(yè)務中分出，使得它們在事實上對IP地址欺騙攻擊無效。

IDS入侵監(jiān)測
IDS解決方案將不得不提供的行為或基于反常事務的算法來檢測現(xiàn)在的DDoS攻擊。但是一些基于反常事務的性能要求有專家進行手動的調整，而且經(jīng)常誤報，并且不能識別特定的攻擊流。同時IDS本身也很容易成為DDoS攻擊的犧牲者。

作為DDoS防御平臺的IDS大的缺點是它只能檢測到攻擊，但對于緩和攻擊的影響卻毫無作為。IDS解決方案也許能托付給路由器和防火墻的過濾器，但正如前面敘述的，這對于緩解DDoS攻擊效率很低，即便是用類似于靜態(tài)過濾串聯(lián)部署的IDS也做不到。

DDoS攻擊的手動響應
作為DDoS防御一部份的手動處理太微小并且太緩慢。受害者對DDoS攻擊的典型第一反應是詢問最近的上游連接提供者——ISP、宿主提供商或骨干網(wǎng)承載商——嘗試識別該消息來源。對于地址欺騙的情況，嘗試識別消息來源是一個長期和冗長的過程，需要許多提供商合作和追蹤的過程。即使來源可被識別，但阻斷它也意味同時阻斷所有業(yè)務——好的和壞的。

其他策略
為了忍受DDoS攻擊，可能考慮了這樣的策略，例如過量供應，就是購買超量帶寬或超量的網(wǎng)絡設備來處理任何請求。這種方法成本效益比較低，尤其是因為它要求附加冗余接口和設備。不考慮最初的作用，攻擊者僅僅通過增加攻擊容量就可擊敗額外的硬件，互聯(lián)網(wǎng)上上千萬臺的機器是他們取之不凈的攻擊容量資源。

有效抵御DDoS攻擊
從事于DDoS攻擊防御需要一種全新的方法，不僅能檢測復雜性和欺騙性日益增加的攻擊，而且要有效抵御攻擊的影響。

完整的DDoS保護圍繞四個關鍵主題建立：

1. 要緩解攻擊，而不只是檢測

2.從惡意業(yè)務中精確辨認出好的業(yè)務，維持業(yè)務繼續(xù)進行，而不只是檢測攻擊的存在

3.內含性能和體系結構能對上游進行配置，保護所有易受損點

4.維持可靠性和成本效益可升級性

建立在這些構想上的DDoS防御具有以下保護性質：

通過完整的檢測和阻斷機制立即響應DDoS攻擊，即使在攻擊者的身份和輪廓不斷變化的情況下。

與現(xiàn)有的靜態(tài)路由過濾器或IDS簽名相比，能提供更完整的驗證性能。

提供基于行為的反常事件識別來檢測含有惡意意圖的有效包。

識別和阻斷個別的欺騙包，保護合法商務交易。

提供能處理大量DDoS攻擊但不影響被保護資源的機制。

攻擊期間能按需求布署保護，不會引進故障點或增加串聯(lián)策略的瓶頸點。

內置智能只處理被感染的業(yè)務流，確?？煽啃源蠡突ㄤN比例最小化。

避免依賴網(wǎng)絡設備或配置轉換。

所有通信使用標準協(xié)議，確?；ゲ僮餍院涂煽啃源蠡?br />
完整DDoS保護解決技術體系
基于檢測、轉移、驗證和轉發(fā)的基礎上實施一個完整DDoS保護解決方案來提供完全保護，通過下列措施維持業(yè)務不間斷進行：

1. 時實檢測DDoS停止服務攻擊攻擊。

2. 轉移指向目標設備的數(shù)據(jù)業(yè)務到特定的DDoS攻擊防護設備進行處理。

3. 從好的數(shù)據(jù)包中分析和過濾出不好的數(shù)據(jù)包，阻止惡意業(yè)務影響性能，同時允許合法業(yè)務的處理。

4.轉發(fā)正常業(yè)務來維持商務持續(xù)進行。

分享標題：怎么防止服務器被大流量攻擊？
文章分享：http://www.bm7419.com/news/96598.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供關鍵詞優(yōu)化、品牌網(wǎng)站建設、搜索引擎優(yōu)化、網(wǎng)站收錄、網(wǎng)站設計公司、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)