【转】《从入门到精通云服务器》第四讲—DDOS攻击

  上周咱们深入分析了云服务器的配置问题,好了,现在手上有了云服务器之后,我们又不得不提它:DDOS攻击。这是所有运维者的心头痛,也是任何公司听闻后都将心惊胆战的强大对手。下面我们将用浅显易懂的方式讲述什么叫DDOS攻击。

  DDOS攻击形象比喻

  某饭店可以容纳100人同时就餐,某日有个商家恶意竞争,雇佣了200人来这个饭店坐着不吃不喝,导致饭店满满当当无法正常营业。(DDOS攻击成功)

  老板当即大怒,派人把不吃不喝影响正常营业的人全都轰了出去,且不再让他们进来捣乱,饭店恢复了正常营业。(添加规则和黑名单进行DDOS防御,防御成功)

  主动攻击的商家心存不满,这次请了五千人逐批次来捣乱,导致该饭店再次无法正常营业。(增加DDOS流量,改变攻击方式)

  饭店把那些捣乱的人轰出去后,另一批接踵而来。此时老板将饭店营业规模扩大,该饭店可同时容纳1万人就餐,5000人同时来捣乱饭店营业也不会受到影响。(增加硬防与其抗衡)

  DDOS是Distributed Denial of Service的缩写,翻译成中文是“分布式拒绝服务“攻击,网络中的DDOS攻击与防御与上面例子所述差不多,DDOS只不过是一个概称,其下有各种攻击方式,比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”,现在DDOS发展变得越来越可怕,NTP攻击渐渐成为主流了,这意味着可以将每秒的攻击流量放大几百倍,比如每秒1G的SYN碎片攻击换成NTP放大攻击,就成为了200G或者更多。

  每秒200G的攻击意味着什么?

  家庭用户直接掉线或死机。

  瞬间瘫痪腾讯网、迅雷看看官网等大型网站。

  可以让QQ或YY大面积掉线且无法登录。

  可以瞬间瘫痪360内容分发网络(俗称CDN),让大量网站无法访问。

  重大DDOS攻击案例

  2000年2月,包括雅虎、CNN、亚马逊、eBay、ZDNet,以及E*Trade和Datek等网站均遭受到了DDOS攻击,并致使部分网站瘫痪。

  2007年5月,爱沙尼亚三周内遭遇三轮DDOS攻击, 总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪,为此北约顶级反网络恐怖主义专家前往该国救援。

  2009年519断网事件导致南方六省运营商服务器全部崩溃,电信在南方六省的网络基本瘫痪。

  2009年7月,韩国主要网站三天内遭遇三轮猛烈的DDOS攻击,韩国宣布提前成立网络司令部。

  最近比较著名的案例有:全球三大游戏平台:暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击,致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。

  企业对于DDOS攻击的防护

  1、主机与系统层面上:

  关闭不必要的服务和端口;

  限制同一时间内打开的syn半连接数目;

  缩短syn半连接超时时间;

  系统设置防火墙iptables,ipsec等策略;

  不要在服务器上安装破解类程序,所有软件必须来源于官网;

  及时安装官方系统更新的安全补丁。

  2、程序层面:

  安全的架构设计;安全的编码;安全测试;安装服务器相应的防护软件

  (比如安全狗、云锁、360网站卫士之类的)

  3、网络设备层面上(路由和防火墙):

  禁止对主机非开放服务的访问;

  限制同时间内打开的syn最大连接数;

  限定特定ip地址的访问,过滤未使用的保留ip地址段;

  启用防火墙防DDOS属性或者购买DDOS硬防设备;

  (小鸟云辽宁高防节点:最低硬防20G,最高可达300Gbps)

  严格限制对外开放服务器的对外访问;

  CEF和UnicastReverse_path设置,减少伪造ip攻击的危害;

  4.非技术因素上的防护:

  培养安全意识,警惕社会工程学的攻击;

  建立安全责任制度。

posted @ 2016-12-26 21:38  dorothychai  阅读(434)  评论(0编辑  收藏  举报