防御DDoS:如何应对大规模DDoS攻击
发布时间:2020-03-31 点击数:982
分布式拒绝服务(DDoS)攻击的规模越来越大。根据供应商Arbor Networks和Akamai Technologies的研究,2012年DDoS攻击的平均大小约为1.77Gbps。来自Prolexic的DDoS攻击数据显示,攻击的平均带宽高达48Gbps,比上一季度增长了700%以上。
大多数组织都有近10Gbps的互联网连接。因此,1.77Gbps DDoS攻击的影响不小,但仍处于控制之中。现在,DDoS攻击的平均范围已大大增加。如果组织完全没有准备,当紧急人员遭受攻击时,他们甚至根本无法使用Internet连接。
DDoS攻击机制
传统的拒绝服务攻击通常是指使信息系统无法提供正常服务。这可能包括从停电到数据包泛洪的所有内容。 DDoS变得越来越难以防御的原因主要是由于其名称中包含的固有功能:分布式。 DDoS攻击可以针对多个系统资源,在一个位置具有多个目标,从而使这些目标系统被完全击败。
启动DDoS的方法有很多,但是最基本的方法是(也是Spamhaus遇到的一种)。攻击者欺骗的IP地址与攻击目标相同。然后,攻击者将伪造的DNS请求发送到某些预先选择的DNS服务器。当DNS服务器接收到DNS请求时,该服务器将检查其数据库,然后以一条响应消息进行响应,该消息指示该服务器没有包含欺骗性IP地址的DNS记录。由于DNS响应发送到欺骗IP地址,即攻击者设置的攻击目标将收到DNS响应,因此无法跟踪攻击者的来源。专业DDoS会将此类请求同时发送到不同位置的大量NDS服务器,这将对目标网络产生严重影响,大多数网络对传入流量的处理能力有一定的上限。
防御数百万DDoS攻击
企业一旦企业了解了DDoS攻击方法,就必须决定如何应对这种攻击,这几乎是不可避免的。第一种方法是与Arbor,CloudFlare,Akamai,Prolexic等DDoS防御供应商合作。这是应对最严重攻击的可行方法。这些公司专门研究如何防御和处理可能的恶意流量。但是,如果组织没有足够的资源来购买第三方产品和服务,那么精明的安全管理员也将采取这些步骤以最大程度地降低DDoS攻击的危害。首先,安全管理员应了解其组织的Internet连接。如前提条件中所述,每个组织的平均连接带宽为10Gbps,因此管理员必须小心确保至少让其产品和服务使用大部分可用吞吐量。另外,安全人员必须向更高级别的管理人员报告安全需求。即使资源紧张,也必须定期向他们报告上述统计信息,以使他们了解当前DDoS攻击的普遍性和潜在危害。
此外,无论网络管理员是否遇到攻击,他们都应部署某种防御机制来检查所有传入的DNS响应。如果到达的一系列请求以前从未在本地服务器上记录过,请丢弃这些数据包,而不要向外部DNS服务器发送不必要的响应,以免加剧问题。
最后,有一种方法,有时可以直接用于解决上述资源不足的问题。管理员应考虑将其基础架构更多地部署到云中。最初,出于节省空间的考虑,许多企业不想运行自己的独立数据中心,但是出于安全考虑,云解决方案现在受到了更多关注。
在Spamhaus遇到的攻击中,Spamhaus使用CloudFlare的云服务来减轻DDoS攻击的影响。 CloudFlare和Neustar等云服务提供商将宣布全球数据中心中指定客户的IP地址。这种分散的方法会将DDoS流量传播到不同的地理位置,从而减轻了攻击的影响。当像Spamhaus一样发生数百万次DDoS攻击时,许多组织本身无法处理如此大的流量,因此他们必须向云提供商寻求帮助。
防御在防御和响应DDoS攻击时保持警惕至关重要。安全管理员必须了解针对Internet系统的最新攻击趋势,策略和过程。各种统计数据表明,百万级DDoS攻击的规模和频率将继续增加,因此有必要采取防御措施以应对最坏的情况,例如Spamhaus所遭受的攻击。提前准备是减少DDoS攻击范围和增强潜在攻击目标的防御能力的重要一步。
全网数据为大家提供专业化深圳服务器托管,深圳服务器租用,深圳主机托管,云服务器租用等服务器资源,详情可咨询客服了解。
上一篇:智能将成为5G网络运维趋势
下一篇:DDOS攻击对企业有多有害?
