【转】《从入门到精通云服务器》第四讲—DDOS攻击
上周咱们深入分析了云服务器的配置问题,好了,现在手上有了云服务器之后,我们又不得不提它:DDOS攻击。这是所有运维者的心头痛,也是任何公司听闻后都将心惊胆战的强大对手。下面我们将用浅显易懂的方式讲述什么叫DDOS攻击。
DDOS攻击形象比喻
某饭店可以容纳100人同时就餐,某日有个商家恶意竞争,雇佣了200人来这个饭店坐着不吃不喝,导致饭店满满当当无法正常营业。(DDOS攻击成功)
老板当即大怒,派人把不吃不喝影响正常营业的人全都轰了出去,且不再让他们进来捣乱,饭店恢复了正常营业。(添加规则和黑名单进行DDOS防御,防御成功)
主动攻击的商家心存不满,这次请了五千人逐批次来捣乱,导致该饭店再次无法正常营业。(增加DDOS流量,改变攻击方式)
饭店把那些捣乱的人轰出去后,另一批接踵而来。此时老板将饭店营业规模扩大,该饭店可同时容纳1万人就餐,5000人同时来捣乱饭店营业也不会受到影响。(增加硬防与其抗衡)
DDOS是Distributed Denial of Service的缩写,翻译成中文是“分布式拒绝服务“攻击,网络中的DDOS攻击与防御与上面例子所述差不多,DDOS只不过是一个概称,其下有各种攻击方式,比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”,现在DDOS发展变得越来越可怕,NTP攻击渐渐成为主流了,这意味着可以将每秒的攻击流量放大几百倍,比如每秒1G的SYN碎片攻击换成NTP放大攻击,就成为了200G或者更多。
每秒200G的攻击意味着什么?
家庭用户直接掉线或死机。
瞬间瘫痪腾讯网、迅雷看看官网等大型网站。
可以让QQ或YY大面积掉线且无法登录。
可以瞬间瘫痪360内容分发网络(俗称CDN),让大量网站无法访问。
重大DDOS攻击案例
2000年2月,包括雅虎、CNN、亚马逊、eBay、ZDNet,以及E*Trade和Datek等网站均遭受到了DDOS攻击,并致使部分网站瘫痪。
2007年5月,爱沙尼亚三周内遭遇三轮DDOS攻击, 总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪,为此北约顶级反网络恐怖主义专家前往该国救援。
2009年519断网事件导致南方六省运营商服务器全部崩溃,电信在南方六省的网络基本瘫痪。
2009年7月,韩国主要网站三天内遭遇三轮猛烈的DDOS攻击,韩国宣布提前成立网络司令部。
最近比较著名的案例有:全球三大游戏平台:暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击,致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。
企业对于DDOS攻击的防护
1、主机与系统层面上:
关闭不必要的服务和端口;
限制同一时间内打开的syn半连接数目;
缩短syn半连接超时时间;
系统设置防火墙iptables,ipsec等策略;
不要在服务器上安装破解类程序,所有软件必须来源于官网;
及时安装官方系统更新的安全补丁。
2、程序层面:
安全的架构设计;安全的编码;安全测试;安装服务器相应的防护软件
(比如安全狗、云锁、360网站卫士之类的)
3、网络设备层面上(路由和防火墙):
禁止对主机非开放服务的访问;
限制同时间内打开的syn最大连接数;
限定特定ip地址的访问,过滤未使用的保留ip地址段;
启用防火墙防DDOS属性或者购买DDOS硬防设备;
(小鸟云辽宁高防节点:最低硬防20G,最高可达300Gbps)
严格限制对外开放服务器的对外访问;
CEF和UnicastReverse_path设置,减少伪造ip攻击的危害;
4.非技术因素上的防护:
培养安全意识,警惕社会工程学的攻击;
建立安全责任制度。