DDoS的攻擊方式有很多種,最常見的就是利用大量僵屍網絡模拟真實流量通路伺服器,進而占用伺服器資源和帶寬擁堵,導緻正常使用者無法通路。很多網際網路企業都有部署DDoS防禦措施,但并不是一套方案就可以一勞永逸的。現在DDoS攻擊大多數是複合式攻擊,越來越複雜化,不同攻擊方式對應的防禦措施也不一樣,今天墨者安全就來分享一下不同類型的DDoS攻擊對應的防禦措施有哪些?
一、按攻擊流量規模分類
1、較小流量
小于1000Mbps攻擊流量的DDoS攻擊,一般隻會造成小幅度延遲和卡頓,并不是很不影響線上業務的正常運作,可以利用iptables或者DDoS防護應用實作軟體層的DDoS防護。
2、大型流量
大于1000Mbps攻擊流量的DDoS攻擊,可以利用iptables或者DDoS防護應用實作軟體層防護,或者在機房出口裝置直接配置黑洞等防護政策,或者同時切換域名,将對外服務IP修改為高負載Proxy叢集外網IP,或者CDN高仿IP,或者公有雲DDoS網關IP,由其代理到RealServer。
3、超大規模流量
超大規模的DDoS攻擊流量通過上述方法也起不到多大作用,隻能通過專業的網絡安全公司接入DDoS高防服務,隐藏伺服器源IP,将攻擊流量引流到高防IP,對惡意攻擊流量進行智能清洗,阻攔漏洞攻擊、網頁篡改、惡意掃描等黑客行為,保障網站的安全與可用性。
二、按攻擊流量協定分類
1、syn/fin/ack等tcp協定包
設定預警閥值和響應閥值,前者開始報警,後者開始處理,根據流量大小和影響程度調整防護政策和防護手段,逐漸更新。
2、UDP/DNS query等UDP協定包
對于大部分遊戲業務來說,都是TCP協定的,是以可以根據業務協定制定一份TCP協定白名單,如果遇到大量UDP請求,可以不經産品确認或者延遲跟産品确認,直接在系統層面/HPPS或者清洗裝置上丢棄UDP包。
3、http flood/CC等需要跟資料庫互動的攻擊
這種一般會導緻資料庫或者webserver負載很高或者連接配接數過高,在限流或者清洗流量後可能需要重新開機服務才能釋放連接配接數,是以更傾向在系統資源能夠支撐的情況下調大支援的連接配接數。相對來說,這種攻擊防護難度較大,對防護裝置性能消耗很大。
4、其他
icmp包可以直接丢棄,先在機房出口以下各個層面做丢棄或者限流政策。現在這種攻擊已經很少見,對業務破壞力有限。
随着網際網路的飛速發展,5G網絡和智能物聯網裝置的逐漸普及,讓DDoS攻擊近幾年呈爆發式增長,DDoS攻擊的規模和造成的影響也越來越大。作為一個網際網路企業,DDoS攻擊對線上業務的影響直接導緻企業品牌形象和使用者口碑大幅度下降,是以網際網路必須清楚網絡安全的重要性,提高網絡安全意識,做好必要的DDoS高防措施,保障伺服器穩定運作。