作为最常见的网络攻击之一,DDoS攻击会直接造成在线业务中断,对互联网企业是致命的打击。很多运维人员都会通过自己的一些DDoS防护方法来缓解DDoS攻击,但效果却并不明显。下面来谈谈DDoS防护方面容易陷入的七大误区。
误区一:通过CDN来做DDoS防护
当受到DDoS攻击时,很多运维人员希望使用CDN来区分攻击流量和正常流量,这实际上是不可行的。由于CDN本身并不是为了提供安全性而设计的,它主要采用全局加载技术,将用户访问定向到最近工作的缓存服务器,以提高用户的访问速度,无法识别清洗DDOS攻击流量。
误区二:利用黑名单限制
一些服务器运维人员想利用“黑名单”限制资源访问来当做DDoS防护的手段,但实际效果不是很好。由于DDoS攻击流量模拟真实得IP接入,运维人员很难区分哪些IP是攻击流量,哪些IP是真实访客。因此,限制较少的IP没有效果,限制IP可能会造成大规模的无阻塞,导致无法访问正常访客。
误区三:设置阈值警报
一些运维人员认为可以通过设置流量阈值警报来做DDoS防护,但实际上阈值警报只会通知你他们正在被攻击,无法阻止攻击。当你知道这是被DDoS攻击时,如果你没有专业的防御措施,还是只能束手无策的等待攻击结束,服务器才能正常访问。
误区四::DDoS攻击都是洪水攻击 洪水袭击就是DDoS攻击
事实上,除了洪水袭击,也有缓慢的袭击方法。我们定义的DDoS攻击的本质是消耗大量的资源或长期占用资源,拒绝向其他用户提供服务。洪水攻击用于快速消耗大量资源,并快速向目标发送大量数据和请求。与洪水袭击的“动如脱兔”相比,缓慢的攻击会缓慢而持续地向目标发送请求,从而长期占用资源。
误区五:公司小不会被攻击者盯上
这是大多数中小型企业运维人员的想法。觉得这样一家小公司不会成为目标。事实上,这是完全错误的。因为大型互联网企业都有专门的网络安全团队来维护服务器,而且还部署了强大的DDoS防护措施。攻击这些大型企业成本太高,风险太大。而中小型企业一般不会重视网络安全,他们通常只是简单的攻击服务器,然后勒索或盗取数据信息牟利。
误区六:系统优化和增加带宽就能有效缓解DDOS攻击
事实上,这两种方法都有一定的效果,但攻击者增大DDOS攻击规模的代价并不高。当攻击者将攻击规模和攻击流量相乘时,其效果变得微不足道。
误区七:用防火墙和IDS/IPS能够缓解DDOS攻击
防火墙不用于阻挡DDOS。目前,大多数DDOS攻击都是基于合法数据包,防火墙难以有效监测。同时,以高强度检测为代价保护防火墙。DDOS攻击网络中的大量流量将导致防火墙性能急剧下降。
以上几点是服务器运维人员做DDoS防护时最常见的误解。现在DDoS攻击越来越频繁,而且都是复合攻击,攻击类型也越来越复杂。只有通过专门的网络安全公司部署DDoS防护措施,全天候实时防护,屏蔽漏洞、网页篡改、恶意扫描等黑客行为,才能防范各种攻击,确保服务器仍在流量大的DDOS下正常运行。
作者:we_2b9f
链接:https://www.jianshu.com/p/75e1465f7043
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
3909
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
