Tag Archives: 阿里云安骑士

了解下高防服务器如何有效的防护DDoS攻击

客户提问：
了解下高防服务器如何有效的防护DDoS攻击
凯铧互联技术回复：
想象一下有人使用不同的电话号码一遍又一遍地打电话给你，而你也无法将他们列入黑名单。最终你可能会选择关闭手机，从而避免骚扰。这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子。

乔布斯(SteveJobs)推出第一款iPhone之前，DDoS攻击就已经存在了。它们非常受黑客欢迎，因为它们非常有效，易于启动，并且几乎不会留下痕迹。那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级别的DDoS攻击防护?在本文中，我们将讨论如何防止DDoS攻击，并将介绍一些特定的DDoS保护和预防技术。

DDoS攻击的类型和方法

分布式拒绝服务攻击(简称DDoS)是一种协同攻击，旨在使受害者的资源无法使用。它可以由一个黑客组织协同行动，也可以借助连接到互联网的多个受破坏设备来执行。这些在攻击者控制下的设备通常称为僵尸网络。

有多种执行DDoS攻击的工具：例如Trinoo，Stacheldraht，Shaft，Knight，Mstream等。这些工具的可用性是DDoS攻击如此广泛和流行的原因之一。

DDoS攻击可能持续几分钟、几小时、甚至是几天。卡巴斯基实验室的一份报告显示，近年来时间最长的DDoS攻击之一发生在2018年1月，它持续了将近300个小时。

发起DDoS攻击有两种常见方法：

利用软件漏洞。黑客可以针对已知和未知软件漏洞，并发送格式错误的数据包，以试图破坏受害者的系统。

消耗计算或通信资源。黑客可以发送大量合法的数据包，从而消耗受害者的网络带宽、CPU或内存，直到目标系统无法再处理来自合法用户的任何请求。

虽然没有标准的DDoS攻击分类，但我们可以将其分为四大类：

容量耗尽攻击

协议攻击

应用程序攻击

0day漏洞DDoS攻击

 

让我们仔细研究一下每种类型的攻击。

容量耗尽攻击

容量耗尽攻击(Volumetricattacks)通常借助僵尸网络和放大技术，通过向终端资源注入大量流量来阻止对终端资源的访问。最常见的容量耗尽攻击类型有：

UDP洪水攻击。黑客发送用户数据报协议(UDP)包伪造受害者的源地址到随机端口。主机生成大量的回复流量并将其发送回受害者。

ICMP洪水攻击。黑客使用大量的互联网控制消息协议(ICMP)请求或ping命令，试图耗尽受害者的服务器带宽。

Netscout在2018年报告了迄今为止最大的DDoS攻击之一：一家美国服务提供商的客户面临着1.7Tbps的大规模反射放大攻击。

协议攻击

根据Verisign2018年第1季度DDoS趋势报告，协议攻击针对的是协议工作方式的漏洞，这是第二大最常见的攻击媒介。最常见的协议攻击类型有：

SYN洪水攻击。黑客利用了三向握手TCP机制的漏洞。客户端将SYN数据包发送到服务器，接收SYN-ACK数据包，并且永远不会将ACK数据包发送回主机。因此，受害者的服务器留下了许多未完成的SYN-ACK请求，并最终导致崩溃。

死亡之Ping。攻击–黑客使用简单的Ping命令发送超大数据包，从而导致受害者的系统冻结或崩溃。

SYN洪水攻击是2014年用来摧毁在线赌博网站的五种攻击媒介之一。

应用程序攻击

应用程序攻击利用协议栈(六)，协议栈(七)中的漏洞，针对特定的应用程序而不是整个服务器。它们通常针对公共端口和服务，如DNS或HTTP。最常见的应用程序攻击有：

HTTP洪水攻击。攻击者用大量的标准GET和POST请求淹没应用程序或web服务器。由于这些请求通常显示为合法流量，因此检测HTTP洪水攻击是一个相当大的挑战。

Slowloris。正如其名，Slowloris缓慢地使受害者的服务器崩溃。攻击者按时间间隔和一小部分向受害者的服务器发送HTTP请求。服务器一直在等待这些请求完成，但永远不会发生。最终，这些未完成的请求耗尽了受害者的带宽，使合法用户无法访问服务器。

0day漏洞DDoS攻击

除了众所周知的攻击之外，还存在0day漏洞DDoS攻击。他们利用尚未修补的未知软件漏洞或使用不常见的攻击媒介，因此更加难以检测和防御。例如，早在2016年，攻击者利用轻型目录访问协议(LDAP)发起了放大系数高达55的攻击。

现在让我们谈谈检测DDoS攻击的方法。

检测DDoS攻击

虽然不可能完全阻止DDoS攻击的发生，但有一些有效的做法可以帮助你检测和停止正在进行的DDoS攻击。

异常检测：统计模型和机器学习算法(例如神经网络，决策树和近邻算法)可用于分析网络流量并将流量模式分类为正常或DDoS攻击。你还可以搜索其他网络性能因素中的异常，例如设备CPU利用率或带宽使用情况。

基于知识的方法：使用诸如特征码分析、状态转换分析、专家系统、描述脚本和自组织映射等方法，你可以通过将流量与已知攻击的特定模式进行比较来检测DDoS。

ACL和防火墙规则：除了入口/出口流量过滤之外，访问控制列表(ACL)和防火墙规则可用于增强流量可见性。特别是，你可以分析ACL日志，以了解通过网络运行的流量类型。你还可以根据特定的规则、签名和模式配置web应用程序防火墙来阻止可疑的传入流量。

入侵防御和检测系统警报：入侵防御系统(IPS)和入侵检测系统(IDS)提供了额外的流量可见性。尽管误报率很高，但是IPS和IDS警报可以作为异常和潜在恶意流量的早期指示。

在早期阶段检测正在进行的攻击可以帮助你减轻其后果。但是，你可以采取适当的预防措施来防范DDoS攻击，使攻击者更难淹没或破坏你的网络。

如何编写一个有效的防护DDoS攻击的解决方案

无论你是想创建自己的有效防护DDoS攻击的解决方案，还是要为Web应用程序寻找商业化的DDoS攻击防护系统，都要牢记以下一些基本系统要求：

混合DDoS检测方法。基于特征码和基于异常的检测方法的组合是检测不同类型的DDoS攻击的关键。

防御3–4级和6–7级攻击。如果你的解决方案能够检测并抵御所有三种主要类型的DDoS攻击：容量攻击、应用攻击和协议攻击，则更可取。

有效的流量过滤。DDoS保护的最大挑战之一是区分恶意请求与合法请求。很难创建有效的过滤规则，因为涉及DDoS攻击的大多数请求看起来都好像是来自合法用户。诸如速率限制之类的流行方法通常会产生很多误报，导致阻止合法用户访问你的服务和应用程序。

SIEM集成。将防DDoS解决方案与SIEM系统良好结合非常重要，这样你就可以收集有关攻击的信息，对其进行分析，并使用它来改善DDoS的保护并防止以后发生攻击。

如果满足这些要求对你来说太难了，那么考虑向专家寻求帮助。你需要一支经验丰富的开发团队，他们对网络安全、云服务和web应用程序有深入的了解，才能构建高质量的DDoS防御解决方案。像这样的团队很难在内部组织起来，但你可以随时寻求第三方团队的帮助。

防止DDoS攻击

即使你无法阻止DDoS攻击的发生，但你有能力让攻击者更难关闭你的网站或应用程序。这就是DDoS预防技术关键的地方。你可以使用两种DDoS预防机制：常规预防措施和过滤技术。

常规的DDoS防护机制是比较常见的措施，可以帮助你使Web应用程序或服务器对DDoS攻击更具弹性。这些措施包括：

使用防火墙。虽然防火墙不能保护你的应用程序或服务器免受复杂的DDoS攻击，但它们仍然可以有效地处理简单的攻击。

安装最新的安全补丁。大多数攻击针对特定的软件或硬件漏洞，因此及时部署所有补丁可以帮助你降低攻击风险。

禁用未使用的服务。黑客攻击的应用程序和服务越少越好。确保禁用所有不需要和未使用的服务和应用程序，以提高网络的安全性。

过滤机制使用不同的方法来过滤流量并阻止潜在的危险请求。这些机制包括入口/出口过滤，基于历史的IP过滤和基于路由器的数据包过滤。

保护Web应用程序免受DDoS攻击的优秀做法

除了特定的DDoS防范机制，还有几种做法可以帮你的web应用程序提供额外的DDoS保护：

限制漏洞数量。除非迫不得已，否则不要公开你的应用程序和资源。这样，你可以限制攻击者可能针对的基础架构中的漏洞数量。你还可以禁止将互联网流量直接发送到数据库服务器和基础结构的其他关键部分。

扩展负载。考虑使用负载平衡器和内容分发网络(CDN)，通过平衡资源负载来减轻攻击的影响，这样即使在攻击期间也可以保持在线。

仔细选择你的云提供商。寻找一个值得信赖的云服务提供商，并提供自己的DDoS缓解策略。确保他们的策略可检测和缓解基于协议，基于卷和应用程序级别的攻击。例如，一些云提供商使用anycasting网络在具有相同IP地址的多台机器之间划分大量请求。

使用第三方DDoS缓解服务?–考虑将web应用程序的保护委托给第三方供应商。DDoS缓解服务甚至可以在问题流量到达受害者网络之前将其清除。你可以从基于DNS的网关服务或基于协议的解决方案中查找有问题的边界攻击。

结论

黑客不断使用和改进DDoS攻击来破坏特定服务、大小型企业甚至公共和非营利组织的工作。这些攻击的主要目的是耗尽受害者的资源，从而使他们的服务、应用程序或网站崩溃。

虽然无法完全阻止DDoS攻击的发生，但有一些有效的DDoS攻击保护技术和方法可用于增强基础设施抵御DDoS攻击并减轻其后果。

 

 

本文适用于:
了解下高防服务器如何有效的防护DDoS攻击

上述就是了解下高防服务器如何有效的防护DDoS攻击的简述，如果您还有阿里云服务器/阿里云产品折扣以及阿里云技术服务等，请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务，同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7×24技术服务。 电话专线：136-5130-9831，QQ:3398234753。

凯铧互联已为大批中小科技企业的创业创新活动提供了免费的技术培训服务，凯铧互联的核心优势如下：

1、一对一的客户经理服务：专业的上云架构咨询与指导、完整的售前支持与解决方案、及时的售后支持

2、云运维服务专家：上云迁移环境搭建服务、云计算相关培训、一站式运维服务

3、全面的ISV.SI能力：提供包括云基础资源+ISV.SI服务在内的一体化服务

4、选择我们的服务，我们将成立以1名服务经理为组长的服务小组，现场技术人员一主一备，长期稳定。

作为阿里云代理的凯铧互联建立有一支高素质的专业技术队伍支撑阿里云相关业务，现有一名阿里认证架构师ACE、五名阿里认证工程师ACP，随时响应客户的服务需求，服务范围已覆盖东北、华北、西北、华中等地多座城市，并为全国多家上市公司和大型集团的上云项目提供了从咨询、设计、采购到实施的一体化综合服务。按照阿里云官网解释其就是“由阿里云官方授仅的本地服务的4S店“，业务可以覆盖全国范围。

防ddos攻击的这些防护措施你要知道

客户提问：
防ddos攻击的这些防护措施你要知道
凯铧互联技术回复：
DDOS防护怎么提升?DDOS攻击现在最常见的网络攻击之一，DDOS攻击就是以消耗资源为目的，大量的无用数据请求占用了服务器资源，导致网站无法正常操作，甚至导致系统崩溃。因此防DDOS攻击是非常重要的，那么应该如何提升防御DDOS攻击能力呢?这时候具有高防御的服务器的作用就很大了，而高防服务器就是很好的选择。但是除了购买高防服务器，提升服务器整体安全性能也是很重要的，想知道要怎么做，继续往下看吧。

如何防御ddos攻击
在服务器的安全性问题上，要得到重视，仅有不断的提升安全防护，与此同时提升网络服务器的安全性能，才可以可免于遭受攻击，进而避免减少亏损。以下就介绍一些基本的安全防护措施。

1、打系统补丁
在大家做网站服务器安全防范措施的情况下，最先切忽眼高手低，就应当从更为基本的工作中刚开始学起，那便是要打系统补丁，不管网络服务器应用的是啥操作系统，基本是会有一定的系统漏洞，仅有不断的打上补丁，才可以防护系统漏洞被运用而遭受攻击，它是安全防范措施的基本。

2、防火墙设置
有关网络服务器的防火墙设置，也是要大家留意的一个地方，由于服务器防火墙针对绝大多数的访问都是有一个比较强的的防护作用，尽管并不是说防火墙设置之后就百分之百安全，可是设定了最好的服务器防火墙之后，就可以抵御绝大多数的攻击。

3、关掉不必的服务端口
一些我们不常见的服务和端口，实际上是能够挑选关掉的，由于这种服务和端口开启之后不但是資源的消耗，与此同时也会提升安全的安全性问题，这种服务和端口由于长期不必，非常容易被网络黑客运用，进而在这儿进行攻击，因此关掉是好处大于坏处的。

以上就是DDOS防护的提升方法以及服务器的安全防护措施，希望以上内容对大家防御网络攻击有所帮助。如需购买高防产品，推荐凯铧互联。凯铧互联有高防服务器，高防云，智防系统等高防护产品，保障服务器的安全稳定。

 

本文适用于:
防ddos攻击的这些防护措施你要知道

上述就是防ddos攻击的这些防护措施你要知道的简述，如果您还有阿里云服务器/阿里云产品折扣以及阿里云技术服务等，请您直接联系本站客服,阿里云代理商凯铧互联为您提供一对一服务。 阿里云代理商凯铧互联会为您提供专业全面的技术服务，同时还能为您提供阿里云产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7×24技术服务。 电话专线：136-5130-9831，QQ:3398234753。

凯铧互联已为大批中小科技企业的创业创新活动提供了免费的技术培训服务，凯铧互联的核心优势如下：

1、一对一的客户经理服务：专业的上云架构咨询与指导、完整的售前支持与解决方案、及时的售后支持

2、云运维服务专家：上云迁移环境搭建服务、云计算相关培训、一站式运维服务

3、全面的ISV.SI能力：提供包括云基础资源+ISV.SI服务在内的一体化服务

4、选择我们的服务，我们将成立以1名服务经理为组长的服务小组，现场技术人员一主一备，长期稳定。

作为阿里云代理的凯铧互联建立有一支高素质的专业技术队伍支撑阿里云相关业务，现有一名阿里认证架构师ACE、五名阿里认证工程师ACP，随时响应客户的服务需求，服务范围已覆盖东北、华北、西北、华中等地多座城市，并为全国多家上市公司和大型集团的上云项目提供了从咨询、设计、采购到实施的一体化综合服务。按照阿里云官网解释其就是“由阿里云官方授仅的本地服务的4S店“，业务可以覆盖全国范围。