DDoS,分布式拒绝服务攻击,是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。在当下,DDoS 攻击是非常常见的一种攻击方式,大部分互联网企业都是闻 “D” 色变,因为 DDoS 攻击被认为是网络安全领域最难解决的问题之一。
那么企业防护 DDoS 的注意事项,你知道几个?
1、网站被 DDoS 攻击与规模大小或企业知名度高低没有必然关系
当下,DDoS 攻击会针对不同类型的企业和网站发起。DDoS 攻击,亦有可能是你的竞争对手策略性地发起的,例如:当你的网站进行促销活动时,被 DDoS 攻击的风险和潜在危害,将会更为突出。
令人担忧的是,DDoS 攻击的最新研究显示,互联网上存在越来越多完全不分青红皂白、平白无故就发起攻击的现象和趋势。很多企业认为自己并没有什么知名度,只要不去惹事就不会被攻击者盯上,但其实规模小的网站,防护能力薄弱,更容易得手。所以,只要你的网站是可被攻击的,那么它就有可能遭遇 DDoS。
2、DDoS 攻击并不是全部来自于 PC 组成的僵尸网络
很多人会以为 DDoS 攻击,全都是攻击者控制 PC 肉鸡发起的攻击,这在以前的确是如此,但是现在黑客的目光,早已经由 PC 转向高性能服务器以及数量众多、各种各样的物联网设备,这些服务器和智能设备都是可以用来发起攻击的。
3、DDoS 攻击不都是消耗网络带宽资源的攻击
其实 DDoS 攻击,不全都是以消耗攻击目标的网络带宽资源的攻击,也有消耗服务器系统资源以及应用资源的攻击。比如 SYN Flood 就是为了耗尽攻击目标系统的 TCP 连接表资源,同等攻击流量的 SYN Flood 会比 UDP Flood,危害更大。
4、系统优化和增加带宽并不能有效缓解 DDoS 攻击
系统优化,主要是针对被攻击系统的核心参数进行调整,比如增加 TCP 连接表的数量或者是建立连接超时时间等,这对于小规模的攻击可以起到一定防护 DDoS 作用;但当遭遇大流量的 DDoS 攻击时,就完全没有任何作用了。增加带宽也是一样的,而且最终解决不了根本的问题,只能对小规模的 DDoS 攻击起到缓解作用,当攻击者成倍增大攻击规模和攻击流量时,其作用就是微乎其微的。另外,增加带宽进行硬抗,对于大流量的 DDoS 攻击来说并不可取,原因是太烧钱了,一般的中小企业根本无法承受这样的高昂成本。
5、使用防火墙、IDS、IPS 不能缓解 DDoS 攻击
防火墙是最常用的安全产品,但传统的防火墙是通过高强度的检测来进行防护的,主要部署在网络入口位置,虽然可以保护网络内部的所有资源,但是也成为了 DDoS 攻击的目标。
IDS、IPS 属于应用最广泛的攻击检测与防护工具,但在面临 DDoS 攻击时,IDS\IPS 通常也不能完全满足要求。IDS、IPS 一般是基于特征规则的情况下,进行应用层攻击的检测。但目前的 DDoS 攻击,大部分是模拟正常的用户访问请求进行攻击的。因此防火墙和 IDS、IPS 在是否能够有效防护 DDoS 攻击的问题上,存在着性能问题。