互聯網創業公司如何防禦 DDoS ***?
139w.com 鼎點網絡
DDoS即分佈式拒絕服務***,DDoS裏面的 DoS是denial of service(停止服務)的縮寫,表示這種***的目的,就是使得服務中斷。最前面的那個D是 distributed(分佈式),表示***不是來自一個地方,而是來自四面八方,因此更難防禦。
什麼是DDoS***?
這是我見過最有趣、最直白、最好玩的解釋,源自百度百科,一羣惡霸試圖讓對面那家有着競爭關係的商鋪無法正常營業,他們會採取什麼手段呢?惡霸們扮作普通客戶一直擁擠在對手的商鋪,賴着不走,真正的購物者卻無法進入;或者總是和營業員有一搭沒一搭的東扯西扯,讓工作人員不能正常服務客戶;也可以爲商鋪的經營者提供虛假信息,商鋪的上上下下忙成一團之後卻發現都是一場空,最終跑了真正的大客戶,損失慘重。此外惡霸們完成這些壞事有時憑單幹難以完成,需要叫上很多人一起。嗯,網絡安全領域中DoS和DDoS***就遵循着這些思路。
其實,以上提到的惡霸其實就是“肉雞”,可謂是DDoS***的核心大殺器。這裏提到一點,實踐證明,目前並不是只有PC會成爲“肉雞”,現在可以這樣說,只要是物聯的設備都有可能成爲肉雞,比如:手機、服務器、智能音響等等。
如何發起DDoS***的?
舉例來說,基本分爲以下三步:
第一、蒐集目標,刺探軍情。比如:蒐集目標家有多少人,都使用哪些設備,家庭情況怎麼樣,值不值得***,然後找個機會順便潛入目標家拿到開門的最高權限。
第二、確定***時間段。當目標一家人都在家或者有很多客人上門的時候是發動***的最佳時間段;
第三、發動肉雞***。經過前2步的精心準備後,“雞主”把這些肉雞全引向盯梢已久的目標家門口,打開門,讓肉雞如洪水般涌入目標家裏。
經過以上三步,便完成了一次完整的DDoS***過程。
回到題主的問題,互聯網創業公司如何防禦一次DDoS***?防禦方式如下:
1、採用高性能的網絡設備
首先需要保證路由器、交換機、硬件防火牆等網絡設備的性能,當發生DDoS***的時候,用足夠性能的機器、容量去承受***,充分利用網絡設備保護網絡資源是十分有效的應對策略。
2、保證服務器系統的安全
首先要確保服務器軟件沒有任何漏洞,防止***者***。確保服務器採用最新系統,並打上安全補丁。在服務器上刪除未使用的服務,關閉未使用的端口。對於服務器上運行的網站,確保其打了最新的補丁,沒有安全漏洞。
3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受***的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood***,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味着它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因爲網絡服務商很可能會在交換機上限制實際帶寬爲10M,這點一定要搞清楚。
4、把網站做成靜態頁面或者僞靜態
大量事實證明,把網站儘可能做成靜態頁面,不僅能大大提高抗***能力,而且還給******帶來不少麻煩,至少到現在爲止關於HTML的溢出還沒出現。如果非需要動態腳本調用,那就把它弄到另外一臺單獨主機去,免的遭受***時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的。
5、增強操作系統的TCP/IP棧
Windows操作系統本身就具備一定的抵抗DDoS***的能力,只是默認狀態下沒有開啓而已,若開啓的話可抵擋約10000個SYN***包,若沒有開啓則僅能抵禦數百個,具體怎麼開啓,還需自行去微軟官網瞭解。
6、HTTP 請求的攔截
HTTP 請求的特徵一般有兩種:IP 地址和 User Agent 字段。比如,惡意請求都是從某個 IP 段發出的,那麼把這個 IP 段封掉就行。或者,它們的 User Agent 字段有特徵(包含某個特定的詞語),那就把帶有這個詞語的請求攔截。
7、部署CDN
CDN 指的是網站的靜態內容分發到多個服務器,用戶就近訪問,提高速度。因此,CDN 也是帶寬擴容的一種方法,可以用來防禦 DDOS ***。
8、隱藏服務器的真實IP地址
服務器前端加CDN中轉,如果資金充裕的話,可以購買高防的盾機,用於隱藏服務器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
9、定期檢查
企業網骨幹需要定期檢查主要的網絡節點,清查可能會出現的問題,對於新出現的漏洞及時處理。主要因爲是骨幹節點本身就具有很高的帶寬,這是***們可以利用的好位置,所以說要加強這些主機是十分必要的。
寫在最後:
隨着全球互聯網業務和雲計算的發展熱潮,可以預見到,針對雲數據中心的DDoS***頻率還會大幅度增長,***手段也會更加複雜。安全工作是一個長期持續性而非階段性的工作,所以需要時刻保持一種警覺,而且網絡安全不僅僅是某家企業的責任,更是全社會的共同責任,需要大家共同努力。