一.DDoS攻击分类
1.第三层攻击
第3层是网络层。第3层攻击的重点是使目标站点的带宽饱和,以使站点无法使用。攻击的大小以每秒位数(Bps)为单位。包括:
UDP泛洪攻击:
UDP泛洪会占用主机资源,导致站点无法访问。
ICMP泛滥:
也称为“ping泛洪”。持续和传出的带宽受到该类型攻击影响,导致系统整体放缓。
2.第四层攻击
第4层与传输协议有关。第4层攻击的目标是占用服务器资源,或防火墙和负载平衡器的资源。它以每秒数据包为单位进行测量。包括:
SYN flood:
恶意占用资源,拒绝合法用户的服务。
死亡Ping:
溢出内存缓冲区,从而导致崩溃、重启和拒绝合法用户的服务。
反射攻击:
最具灾难性的攻击类型之一,攻击可能涉及数千台计算机,所有计算机都将数据ping回单个目标,导致大规模减速和服务拒绝。
3.第七层攻击
第7层是应用层和最靠近用户的层。这些攻击更复杂,因为它们模仿人类行为与用户界面交互。它们通过使用似乎合法的崩溃Web服务器的请求来针对OpenBSD、Windows、Apache和其他软件的漏洞。应用层攻击的大小以每秒请求数来衡量。包括:
Slowloris:
使所有连接保持开启状态,这会使最大并发连接池超载,从而导致拒绝服务。
HTTP泛滥:
利用貌似合法的HTTP GET或POST请求来攻击服务器或应用程序。这种攻击需要的带宽较少。
二.DDoS攻击防御策略简述
- 假如你有钱,买高性能主机,高带宽或者安全厂商的高防服务。
- 通过DDoS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。
- 把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,最好在需要调用数据库的脚本中,拒绝使用代理的访问,经验表明,使用代理访问你网站的80%属于恶意行为。
- 采用分布式集群防御,这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
- 采用IP轮询访问。对稳定性、流畅性以及安全性上要求较高的业务,用户遭受 DDoS 攻击且达到一定峰值时,系统通过 IP 轮询机制,将从IP 池中灵活调取一个新的 IP 充当业务 IP,使攻击者失去攻击目标,以此保证业务在 DDoS 的攻击下正常运转。
- 采用BGP高防IP,跟第一个说的很像。当用户应用 BGP 高防 IP 且配置转发规则和域名回源后,此时所有的访问流量都将流经 BGP 高防 IP 集群,通过端口协议转发的方式(支持网站业务和非网站业务)将访问流量转发至源站,同时攻击流量将在 BGP 高防 IP 集群进行清洗和过滤,只会将正常业务流量返回至源站,从而确保源站业务的稳定。
- 运营商过滤机制。针对反射放大类攻击,都有相同的特点,可以直接在运营商侧进行过滤,不用将流量流入抗D设备,从而使防御与反射放大类压制更有效果。本不存在放大效果,但基于其真实 IP 的原因,穿透性与隐蔽性都十分显著。
- 流量预压制技术。流量预压制/UDP 预压制等能力,从容应对新型的超大流量攻击。
