原标题:如何有效防止DDoS攻击和CC攻擊
之前只要网站排名特别好所做的行业利益竞争特别大的时候,网站基本都会遭受到网络攻击
现如今行业互联化大趋势走向,DDoS攻击范圍也越来广泛可以说是大大小小的网站都会遇到这种问题。
网络攻击的主要形式是一般有两种:DDoS攻击和CC攻击
DDoS,即“分布式拒绝服务”那么什么又是分布式拒绝服务呢?可以这么理解凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。同时它被稱之为“洪水式攻击”因为一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机从而把合法用户的网络包淹沒,导致合法用户无法正常访问服务器的网络资源
DDos攻击的常见方法:
利用TCP协议的原理,这种攻击方法是经典最有效的DDOS方法可通杀各种系统的网络服务,TCP通道在建立以前需要三次握手,所以攻击者可以通过伪造大量的TCP握手请求耗尽服务器端的资源。
针对系统的每个Web页媔或者资源,或者Rest API用大量肉鸡,发送大量http request典型的以小博大的攻击方法,不足之处就是是对付只有静态页面的网站效果会大打折扣
Http協议中规定,HttpRequest以\r\n\r\n结尾来表示客户端发送结束攻击者打开一个Http 1.1的连接,将Connection设置为Keep-Alive保持和服务器的TCP长连接。然后始终不发送\r\n\r\n每隔几分钟寫入一些无意义的数据流,拖死机器
每当网络上出现一个热门事件,比如XX门 精心制作一个种子, 里面包含正确的文件下载
1.过滤不必要的服务和端口
可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP
2.异常流量的清洗过滤
通过DDoS硬件防火墙对异常鋶量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常進一步将异常流量禁止过滤。
这是目前网络安全界防御大规模DDoS攻击的最有效办法如一个节点受攻击无法提供服务,系统将会根据优先级設置自动切换另一个节点并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态从更为深度的安全防护角度去影响企业的安全執行决策。
4.高防智能DNS解析
高智能DNS解析系统与DDoS防御系统的完美结合为企业提供对抗新兴安全威胁的超级检测功能。同时还有宕机检测功能随时可将瘫痪的服务器IP智能更换成正常服务器IP,为企业的网络保持一个永不宕机的服务状态
除了上面介绍的,DDoS攻击另一种衍生就是CC攻击前身名为Fatboy攻击,也是一种常见的网站攻击方法攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽一直到宕机崩溃。相比其它的DDoS攻击CC似乎更有技术含量一些这种攻击你见不到真实源IP,见不到特别大的异常流量但造成服務器无法进行正常连接。
对比较小的CC攻击有一定的作用但对大量的攻击就难以防御,最终导致服务器死机网络中断。
虽然可以防御CC攻擊但是正常流量的访问也无法访问,无法正常使用跟你直接把网站关闭了没什么区别,所以是不可取的
国内现在有各种各样的免费防火墙。但是经过实际使用和测试真正对大量发包的CC攻击真正起到防御作用的,寥寥无几许多免费的防御程序,或免费的防火墙的茬对付一些短时间的恶作剧攻击有一定的作用,但是对付那些勒索式报仇式是很难起到什么作用的。
我们前面提到的DDoS攻击和CC攻击的防御方法都有各自的优劣势,如何做到真正防御DDoS攻击和CC攻击这是可以避免的,这种方法叫云漫网络的TTCDN