咨询热线:4006-75-4006
售前:9:00-23:30 备案:9:00-18:00 技术:7*24h
随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。
DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机(被攻击者入侵过或可间接利用的主机)”向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击(或流量攻击)”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,DOS相当于单挑,DDOS相当于群殴。俗话说:双拳难抵四手,好汉打不过人多。所以DDOS这种无赖打法是很难防范的。至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,下面介绍一下怎么对付DDOS攻击。
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定,完全杜绝DDOS目前是不可能的。但通过适当的措施抵御大部分的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续而放弃,也就相当于成功的抵御了DDOS攻击。
1、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干。但需要注意的是,使用的网络设备也要进行同步升级。
2、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,起关键作用的主要是CPU和内存,别只贪价格不贵的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用名牌的。
3、网站优化
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器。当然,适当放一些不做数据库调用脚本还是可以的,而且最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。此外还可以对网站域名解析做一下CDN加速技术,这样也可以防范绝大部分针对网站域名的攻击。
4、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。具体开启方式,可以咨询相关技术人员或看下相关文章(例如《强化 TCP/IP 堆栈安全》)。
5、安装专业抗DDOS防火墙
目前有一款可全功能免费试用的“冰盾防火墙”,是专门针对DDOS攻击和黑客入侵而设计的专业级防火墙。据测试可有效对抗每秒数十万的SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等DDOS攻击,而且可识别2000多种黑客行为的入侵检测模块,能够有效防范端口扫描、SQL注入、木马上传等攻击。
以上几条对抗DDOS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDOS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买更高级的网络设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入,总有攻击者会放弃的时候,那时候你就成功了。