一個(gè)成功的網(wǎng)站運(yùn)營,在發(fā)展建設(shè)的同時(shí),都有應(yīng)該明白要做好防攻擊,如果前期不做好防御工作,一旦遭遇大量的DDos攻擊或CC攻擊,那么自己的網(wǎng)站很有必然處于癱瘓狀態(tài),之前所作的努力將付之東流。
什么是DDoS攻擊和CC攻擊?DDoS,又稱分布式拒絕服務(wù),信息安全的三要素保密性、完整性和可用性中,DDoS攻擊,針對(duì)的目標(biāo)正是“可用性”。該攻擊方式迫使服務(wù)器的緩沖區(qū)滿,不接收新的請(qǐng)求,使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。CC攻擊,即挑戰(zhàn)黑洞,CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個(gè)用戶訪問目標(biāo)網(wǎng)站的動(dòng)態(tài)頁面,制造大量的后臺(tái)數(shù)據(jù)庫查詢動(dòng)作,消耗目標(biāo)CPU資源,造成拒絕服務(wù)。DDoS攻擊的是網(wǎng)站的服務(wù)器,而CC攻擊是針對(duì)網(wǎng)站的頁面攻擊的,用術(shù)語來說就是,DDoS一個(gè)是WEB網(wǎng)絡(luò)層拒絕服務(wù)攻擊,CC一個(gè)是WEB應(yīng)用層拒絕服務(wù)攻擊。
DDoS攻擊防御方法:過濾不必要的服務(wù)和端口:可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較,并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。異常流量的清洗過濾:通過DDOS硬件防火墻對(duì)異常流量的清洗過濾,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等************能準(zhǔn)確判斷外來訪問流量是否正常,進(jìn)一步將異常流量禁止過濾。單臺(tái)負(fù)載每秒可防御800-927萬個(gè)syn攻擊包。分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址(負(fù)載均衡),并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊,如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
