前言:
DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量“肉鸡”对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务。
DDOS攻击具有攻击成本低、危害大、防御难的特点,是企业安全建设需要防范的风险之一,本节介绍DDOS攻击分类及危害、DDOS攻击的常用方案,并重点阐述云抗DDOS攻击应用方案。
目录
前言:
DDOS攻击分类及危害
1.DDOS攻击分类
2.DDOS攻击危害
DDOS攻击防护方案
云抗DDOS攻击应用实践
1.云抗DDOS攻击防护方案说明
2.云抗DDOS攻击注意事项
典型应用案例
1.背景
2.DDOS防护方案
DDOS攻击分类及危害
1.DDOS攻击分类
从DDOS攻击的类型上,主要分为流量型攻击和应用型攻击。流量型攻击如SYNFoold、ACK Flood、UDP Flood;应用型攻击主要包括HTTP CC攻击、DNS Query Flood。
如图1为SYN Flood攻击,客户端发送SYN包给服务端,服务端返回SYN+ACK包,客户端会返回ACK确认包,完成3次握手。但是攻击者可以很容易伪造源IP发送SYN包,服务端响应SYN+ACK包,但客户端永远不会回复ACK确认包,所以服务端会不断重试(一般会5次),当大量的恶意攻击请求包发送过来后,服务端需要大量的资源维护这些半连接,直到资源耗尽。
图1 SYN Flood攻击示意图
如图2,为CC攻击的软件示意图,该软件可以接入代理IP源,每个请求使用不同代理IP,并且可以修改请求的浏览器UA、控制线程数、选择攻击目标等,攻击的效率非常高,只要掌握数台机器和代理IP资源,就可以发送大量的HTTP请求,耗尽Web服务器的性能。
图2 CC攻击示意图
2.DDOS攻击危害
如果是流量型攻击,很容易把互联网入口堵死,一般DDOS流量攻击动不动就是10G打起,对于一般中小企业,互联网总带宽远小于这个量级,很容易就被打垮。如果是托管在运营商或第三方数据中心机房,为了保障在同机房中的其他客户能正常使用互联网带宽资源,往往会将被攻击的IP临时摘除(黑洞),让黑客的攻击流量无法送达。如图3为流量型攻击的示例图,运营商的抗DDOS设备上监控到的10G左右的攻击流量从不同地方打过来。
在湖南的小伙伴应该知道:5月份某日湖南电信遭遇DDOS洪水攻击导致下午几个小时全省集体断网…
图3 流量型DDOS攻击案例
如果是CC攻击,很容易把Web服务器或相关数据库服务器打死,特别是有和数据库交互的页面,黑客攻击时会先找到这样的页面,然后发起大并发的HTTP请求,直到耗尽Web服务器性能或数据库性能,无法正常提供服务。如图4为CC攻击示意图,可以看到在一段时间内,同一个Useragent的请求占比很高,有些CC攻击会往固定的几个URL发起攻击,这些URL的请求量会特别高。
图4 CC攻击特征
如果没有效手段阻断攻击DDOS攻击,必将影响公司业务正常开展。
DDOS****攻击防护方案
DDOS攻击防护需要依靠DDOS攻击防护系统,如图5所示,为运营商级DDOS攻击防护系统的防护架构图,其防护流程如下。
(1)正常情况流量从运营商骨干网路由器路由到用户机房的路由器上。
(2)DDOS攻击防护系统一般包括检测系统和清洗系统2个部分,检测系统通过网口镜像或分光器镜像流量的分析,判断是否存在DDOS攻击行为,一旦发现则通知清洗服务器,开启防护模式。
(3)清洗系统开启BGP通告,将原来转向用户机房的路由牵引到清洗系统路由器上,这时攻击流量就改变方向流向到清洗服务器上。
(4)清洗服务器将攻击流量清洗,正常业务流量放行。
(5)正常业务流量回注到用户机房,这样就完成了DDOS攻击防护。
图5 DDOS攻击防护架构图
DDOS攻击防御的前提条件是有足够的冗余带宽,冗余带宽是指保障业务正常访问带宽后的剩余带宽。因此,除了少数大型企业有自建DDOS防护系统的必要,大多数情况一般是购买运营商抗DDOS服务,或者使用云抗DDOS防护服务。如表1,为不同DDOS攻击防护方案的应用场景和优缺点比较。
表1 常见DDOS攻击防护方案对比
本节重点介绍云抗DDOS应用方案和实践经验。
云抗DDOS****攻击应用实践
1.云抗DDOS攻击防护方案说明
如图6所示,为典型的云抗DDOS攻击防护方案部署图。
图6 云抗DDOS攻击应用方案
(1)首先需要购买高防IP服务,根据需要选择,建议选择BGP高防。高防IP服务一般有保底防护带宽和弹性防护带宽,弹性防护带宽需要根据实际防护量单独再收费。
(2)配置DDOS防护策略,需要将域名、回源配置设置好,如果是CC攻击防护,还需要将HTTPS证书导入到抗DDOS防护中心。
(3)验证配置是否正确,可以修改本地电脑的hosts文件,改到高防IP上,然后通过域名访问,看是否已生效。
(4)实际使用时,将DNS切换到云抗DDOS中心,一般通过修改CNAME或A记录即可。
2.云抗DDOS攻击注意事项
(1)在实际应用过程中,建议将抗DDOS的源站线路和日常源站线路分开,且抗DDOS攻击的源站IP没有被暴露过。因为一般发生攻击时,源站线路的IP可能被ISP黑洞,短时间内无法使用;另外如果更换一个同一个网段的IP作为新的源站IP,很容易被黑客猜到。
(2)主站IP要和其他服务站点的IP分开,因为主站IP经常可能遭受攻击,这样可以降低攻击的影响面。
(3)需要放行云DDOS防护中心的网段,避免被防火墙、IPS、WAF等设备阻断(因为同IP的请求频率会变高)。另外需要考虑透传真实用户请求IP,用于进行统计分析等应用。
(4)需要考虑服务延时,需要考虑云抗DDOS中心机房和源站的地理位置,如果离得太远,很有可能会增加访问延时。
(5)一般不建议将流量一直切换到抗DDOS中心,只有遭受攻击时再切换。或者当有重要活动时,可以事先切换上去,避免遭受攻击时DNS切换的时间,影响重要业务活动。
(6)对于CC攻击,第一优先防护方案是WAF,如果实在不行,再切换到抗DDOS中心。
典型应用案例
1.背景
某公司,主机房服务器托管在数据中心,灾备机房在云上。主要应用为网站和APP,经常遭受DDOS攻击,影响业务开展。
2.DDOS防护方案
-
采购某云DDOS厂商服务,10G BGP + 弹性防护扩展。
-
使用专用线路用于抗DDOS回源。
-
攻击时通过DNS切换将流量切到高防IP上,营销活动开展时,事先将流量切到高防上。
-
HTTPS证书配置到DDOS设备上。
-
流量型攻击防护效果比较理想,CC攻击防护效果也不错(需要和厂商配合进行策略优化)。
从靠劳力赚钱转变成靠脑力赚钱,想入门网络安全的小白肯定想知道如何学好?
对于0基础小白入门:
如果你是零基础小白,想快速入门网络安全是可以考虑的。
一方面是学习时间相对较短,学习内容更全面更集中。
二方面是可以找到适合自己的学习方案
包括: 网络渗透、逆向分析、漏洞攻击、内核安全、移动安全、破解PWN等众多子方向。 带你从零基础系统性的学好网络安全!
👉网安学习成长路线图、网安视频合集👈
Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。(全套教程文末领取哈)
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
👉精品网安学习书籍👈
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
👉网络安全源码合集+工具包👈
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
👉CTF项目实战👈
学习网安技术最忌讳纸上谈兵,而在项目实战中,既能学习又能获得报酬的CTF比赛无疑是最好的试金石!
👉网络安全面试题板块👈
这份完整版的学习资料已经上传CSDN,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
👉[[[CSDN大礼包:《黑客&网络安全入门&进阶学习资源》免费分享]]](安全链接,放心点击)