DDOS防御,阻止DDoS攻击的15个独家技巧

news2024/12/23 13:06:28

DDoS攻击可以使企业完全宕机数小时以上,而宕机的后果可能很严重,各种规模的企业和政府都可能受到影响。2021年,由于系统中断一小时导致销售额大幅下降,亚马逊为此遭受了约3400万美元的直接财务损失。而随后由于Fakebook的服务中断,影响到了Meta的直接收入达到了近1亿美元。

因此几乎每个有在线业务的企业都需要衡量其在网站防护上面所需要的花费及其投资回报率,怎样用最合理的成本来进行最大化的攻击防护是每个企业需要考虑的很重要的问题。

火伞云为大家分享阻止DDoS攻击的15个独家技巧,希望可以帮助大家更有效的阻止DDoS攻击:

1.建立多层DDoS防护体系

当前的DDoS攻击模式已经与5-10年前有很大的不同。早期的DDoS攻击主要集中在第3层或第4层(协议和传输层)的容量攻击。如今DDoS攻击有许多不同的类型,每种类型都针对不同的层(网络层、传输层、会话层、应用层)或多层攻击组合。

此外,攻击者正在寻找使网站无法访问合法流量的新方法和利用漏洞的致命方法,从而策划高度复杂的攻击。在这种情况下,无法通过简单地增加网络带宽或使用传统防火墙来阻止DDoS攻击。您需要一个全面的、多模块的、多层次的DDoS防护方案来规避各种攻击,包括应用层DDoS攻击。

因此您的解决方案必须具有可扩展性,并具有内置冗余、流量监控功能、业务逻辑缺陷检测和漏洞管理功能。

2.避免成为肉鸡

攻击者使用的一种常见策略是DDoS僵尸网络,这是一个由远程控制的受感染设备组成的网络,可向目标发送大量流量。假设您的机器因DDoS攻击而关闭,可能系统会遭到破坏并被用作肉鸡。

为了避免成为肉鸡,必须做好对应的防范:

让您的设备和软件保持最新

使用强而独特的密码

小心可疑的电子邮件和附件

使用信誉良好的反恶意软件解决方案

使用信誉良好的VPN

3.识别攻击类型

通过了解每种攻击类型的特征并快速识别它们,DDoS 保护程序可以实时响应,在攻击造成重大损害之前有效地缓解攻击。识别攻击类型允许更有针对性和有效的防御机制,例如过滤特定流量或阻止恶意 IP 地址。此外及早识别攻击类型有助于预测和预防未来的攻击并改善整体安全态势,因此在攻击者发动攻击之前就识别攻击类型的能力是DDoS保护程序不可或缺的一部分。

一般来说企业可能会遇到三种常见的DDoS攻击类型:

a.应用层L7攻击或HTTP泛洪攻击

这种应用层攻击针对具有来自多个来源的请求的应用程序。此类攻击会生成大量POST、GET或HTTP请求,导致服务停机数小时至数周不等。由于成本低且易于操作,应用层攻击被广泛用于电子商务、银行和创业网站等。

b.UDP放大攻击

攻击者使用开放的NTP请求流量以阻塞目标服务器或网络。L3/L4(网络或传输)上的这种流量随着有效负载流量而增强,并且与请求大小相比是巨大的,因此会使服务不堪重负而宕机。

c.DNS泛洪攻击

DNS泛洪是针对将域名转换为IP地址的DNS(域名系统)服务器的DDoS攻击。这种攻击旨在通过大流量淹没DNS服务器,使合法用户无法访问目标网站或在线服务。

4.创建DDoS攻击威胁模型

DDoS攻击威胁模型是一种结构化方法,用于识别和分析DDoS攻击给您的在线服务或网站带来的潜在风险。

大多数互联网企业都在努力处理网络资源库存,以跟上不断增长的增长和客户需求。新的门户网站、支付网关、应用系统、营销领域和其他资源经常被不断创建和淘汰。

而您的网络资源是否管理有序井井有条?火伞云有以下建议:

确定您想要保护的资产——创建一个数据库,其中包含您想要防止DDoS攻击的所有Web资产,作为清单。它应该包含网络详细信息、正在使用的协议、域、应用程序的数量、它们的使用、最后更新的版本等。

定义潜在的攻击者——定义可能以您的资产为目标的潜在攻击者,例如网络黑客、竞争对手或民族国家行为者。

确定攻击向量——确定攻击者可以用来发起DDoS攻击的各种攻击向量,如UDP泛洪、SYN泛洪或HTTP 泛洪。

确定攻击面——确定资产的攻击面,包括网络拓扑、硬件基础设施和软件堆栈。

评估风险级别——通过评估攻击发生的概率、攻击的潜在影响以及检测和缓解攻击的可能性来评估每个攻击向量的风险级别。

5.设置网络资源优先级

所有的网络资源都是平等的还是您希望首先保护哪些资源?

从指定Web资源的优先级和重要性开始。例如以业务和数据为中心的Web资产应置于具有24h*7dd DDoS关键保护之下。

比如火伞云通常设置三个等级的网络资源:

关键:放置所有可能危及商业交易或您的声誉的资产,黑客通常有更高的动机首先针对这些资源。

高:此等级应包括可能妨碍日常业务运营的Web资产。

正常:此处包含其他所有内容。

废置:可以为不再使用的域、网络、应用程序和其他服务创建新的分类并尽快将其移出业务运营网络。

6.减少攻击面暴露

通过减少暴露给攻击者的面,可以最大限度地减少他们编排DDoS攻击的范围/选项。

因此,请保护您的关键资产、应用程序和其他资源、端口、协议、服务器和其他入口点,以免直接暴露给攻击者。

有许多策略可用于最小化攻击面暴露:

a.您可以在网络中分离和分配资产,使其更难成为目标。例如,您可以将Web服务器放在公共子网中,但底层数据库服务器应位于私有子网中。此外您可以限制从您的Web服务器访问数据库服务器,而不是其他主机。

b.对于可通过Internet访问的站点,您也可以通过限制访问用户所在国家/地区的流量来减少表面积。

c.利用负载均衡器保护Web服务器和计算资源免受暴露,方法是将它们置于其后。

d.通过删除任何不相关/不相关的服务、不必要的功能、遗留系统/流程等,保持应用程序/网站清洁,攻击者经常利用这些作为切入点。

7.强化网络架构

关键的DDoS保护最佳实践之一是使基础设施和网络能够处理任何雷鸣般的浪涌或流量突然激增。通常建议购买更多带宽作为一种选择。然而,因为巨大的成本导致这不是一个实用的解决方案。火伞云建议大家可以加入弹性的CDN服务来帮助您利用全球分散的网络并构建能够处理突发流量高峰的冗余资源。

8.了解警告标志

DDoS攻击包括一些很明显的网络症状。比如一些常见的DDoS攻击症状是Internet上的连接不稳定、网站间歇性关闭和Internet断开连接。如果这些问题比较严重和持续时间较长,则您的网络很可能受到DDoS攻击,您必须采取适当的DDoS攻击防范措施。

以下是您可能受到分布式拒绝服务 (DDoS) 攻击的一些警告信号:

异常高的流量

缓慢或无响应的网站

网络连接问题

不寻常的交通模式

意外的服务器错误

资源使用异常激增

9.黑洞路由

黑洞路由是一种用于通过在恶意流量到达目标网络或服务器之前丢弃恶意流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到将路由器或交换机配置为将流量发送到一个空接口,即“黑洞”,从而有效地减少流量。黑洞路由通常用于阻止来自被识别为攻击源的特定IP地址或子网的流量。

虽然黑洞路由是一种被动措施,但它可以有效地减轻DDoS攻击的影响。但需要注意的是,黑洞路由应与其他主动步骤一起使用,以防止DDoS攻击。

10.率限制

速率限制是一种用于通过限制发送到网络或服务器的流量来防止分布式拒绝服务(DDoS)攻击的技术。这涉及到限制在指定的时间范围内可以进行的请求或连接的数量。

当达到限制时,多余的流量会被丢弃或延迟。速率限制可以在各种级别上实现,例如在网络、应用程序或DNS层上。通过限制可以发送到网络或服务器的流量,速率限制有助于防止可能导致DDoS攻击的资源过载。但是谨慎配置速率限制以避免阻塞合法流量是很重要的。

基于地理的访问限制、基于信誉评分的访问限制等基于实时见解的措施在预防DDoS攻击方面发挥了很大作用。

11.日志监测与分析

您可能想知道如何通过日志监控来阻止DDoS攻击。快速检测威胁是DDoS保护的最佳做法之一,因为它们提供了有关您的网络流量的数据和统计数据。日志文件包含具有充足信息的数据,可有效地实时检测威胁。使用日志分析工具检测DDoS威胁还有其他好处,如使DDoS补救过程快速而简单。在列出您的网站时,流量统计数据会显示流量激增的日期和时间,以及哪些服务器受到了攻击的影响。

日志分析可以通过预先通知不需要的事件的状态来减少故障排除时间,从而为您节省时间。一些智能日志管理工具还提供了快速补救和减轻成功DDoS攻击造成的损害所需的信息。

12.制定DDoS抵御计划

抵御DDoS攻击并不会限制预防和缓解,由于DDoS攻击旨在关闭您的完整操作,因此大多数DDoS保护技术都与打击攻击有关。

将灾难恢复规划实践作为定期运营维护的一部分,该计划应侧重于技术能力和全面的计划,该计划概述了如何在成功的DDoS攻击的压力下确保业务连续性。灾难恢复站点必须是恢复计划的一部分。作为临时站点的DR站点应具有您的数据的当前备份。恢复计划还应包括关键细节,如恢复方法、关键数据备份的维护位置以及谁负责哪些任务。

13.获取DDoS防护工具

如今市场上充斥着帮助您检测和保护关键网络资源免受DDoS攻击的工具。这些工具属于不同的类别——检测和缓解。

攻击检测

无论攻击的层次如何,缓解措施都取决于你在虚假流量激增造成严重破坏之前检测到它们的能力。大多数DDoS保护工具都依赖于签名和源详细信息来警告您。它们依赖于达到临界质量的流量,这会影响服务的可用性。然而,仅检测是不够的,需要手动干预来查看数据并应用保护规则。

自动缓解

DDoS保护是否可以自动化?许多防DDoS解决方案基于预先配置的规则和策略来引导或阻止虚假流量。

虽然在应用程序或网络层上自动过滤不良流量是可取的,但攻击者已经找到了击败这些策略的新方法,尤其是在应用程序层。

14.降低对传统防火墙依赖

尽管传统防火墙具有内置的抗DDoS功能,但它们只有一种DDoS阻止方法——不分青红皂白的阈值做法,即在达到最大阈值限制时阻止特定端口,所以传统防火墙在DDoS保护中经常失败。

15.部署Web应用程序防火墙

Web应用程序防火墙(WAF)是抵御所有DDoS攻击的绝佳防御措施。它阻止恶意流量试图阻止应用程序中的漏洞。WAF通过安全专家的全天候监控支持DDoS保护解决方案,以识别虚假流量激增并在不影响合法流量的情况下阻止它们。

您可以在互联网和原始服务器之间放置WAF。WAF可以充当反向代理,通过让客户端在到达服务器之前通过它们来保护服务器不被暴露。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/746076.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring源码系列-第2章-后置工厂处理器和Bean生命周期

第2章-后置工厂处理器和Bean生命周期 后置工厂处理器属于后置处理器,后置处理器是Spring最核心的部分,Spring几乎所有的附加功能全由它完成。 什么是BeanPostProcessor? public interface BeanPostProcessor {/*** Apply this {code BeanPos…

桥接(Bridge)模式

目录 动机使用场景参与者优劣协作实现相关模式应用和思考 桥接模式是将抽象部分和它的实现部分分离,使他们都可以独立的变化的对象结构型模式。桥接模式通过将继承改为组合的方式来解决问题;具体来说就是抽取其中一个维度并使之成为独立的类层次。 动机…

gma 2 教程(二)数据操作:2. 功能逻辑架构和栅格数据类型简介

功能逻辑架构 gma栅格数据操作所含功能/属性的关系结构如下图所示: 栅格数据类型 gma栅格数据类型继承自GDAL,与NumPy数据关联,但又有所不同,详细关系见下表: 栅格格式支持 栅格格式信息统计 gma继承了GDAL全部的栅格…

详谈三次握手

作者:爱塔居 专栏:计算机网络 作者简介:大三学生,希望和大家一起进步 经过三次的对话,这两个火柴人才确认了双方都能够说话,都能听见。三次握手也是一样的,只要这样才能确认双方的接受与发送能力…

文件操作--按数据块读写文件

函数fread()和函数fwrite()用于一次读取一组数据,即按数据块读写文件。fread()的函数原型为: unsigned int fread(void *buffer ,unsigned int size,unsigned int count ,FILE *fp);…

raid5故障导致LeftHand存储崩溃的服务器数据恢复案例

HP-LeftHand存储简介: HP LeftHand存储支持RAID5、RAID6、RAID10磁盘阵列,支持卷快照,卷动态扩容等。 服务端: 客户端: LeftHand存储分为三个层级:物理磁盘、逻辑磁盘、逻辑卷。多个物理磁盘组成一个逻辑的…

pdf文档加水印怎么弄?用这款软件很方便

在工作中,我们经常需要将PDF文件发送给他人,但无法保证文件内容不被窃取,因此需要添加水印来保证文件的安全性。如果你不知道如何给PDF文件添加水印,以下两款软件可以帮助你轻松实现,一起来看看吧! 方法一&…

火爆全网,自动化测试-Allure完美测试报告(详全)卷起来...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 1、allure简介 A…

网络协议与攻击模拟-17-DNS协议-报文格式

二、DNS 查询 客户机想要访问www.baidu.com,根据自己的 TCP / IP 参数,向自己的首选 DNS 服务器发送 DNS 请求 首选 DNS 收到客户机的请求后,会去查询自己的区域文件,找不到www.baidu.com的 IP 地址信息(将请求转发到…

天池大赛中药说明书实体识别挑战冠军方案开源(二)部署运行实战 附详细操作说明

目录 Introduction 导言环境搭建环境 Github地址项目目录说明使用步骤下载预训练模型更改部分代码模型训练参数设置BERT-CRF模型训练BERT-SPAN模型训练BERT-MRC模型训练 运行训练预测复赛 test 文件 (上述模型训练完成后) 参考资料其它资料下载 Introduc…

Rdkit|化学指纹(fingerprint)

github:地址 文章目录 Rdkit|化学指纹(fingerprint)化学指纹(fingerprint)RDKFingerprintMorgan指纹提供的指纹信息存储在字典中 MACCS指纹AtomPair指纹TopologicalTorsion指纹参考 Rdkit|化学指纹(fingerprint&#x…

使用楔形步进体模进行X射线骨密度测定

来源:投稿 作者:洪棋 编辑:学姐 骨密度(BMD)被广泛应用于骨折风险的预测和骨质疏松症的常规识别。双能x线骨密度仪(DXA)在临床上广泛用于测量脊柱、髋关节和前臂的骨密度(aBMD)。放射学骨密度测定法(Radiographic absorpometry, RA)是最早的骨…

最全Linux Shell详细教程

一、环境准备 我们在这里就在本地测试学习,因此我在这里先不建议大家这么着急去买服务器来学,这样比较费钱,等我们学好这些基础之后,再去上手服务器,那将是手到擒来。 本地学习工具:虚拟机 如果你没有该工…

ES6~ES13新特性(一)

1 ECMA新描述概念 2 let、const的使用 3 let、const和var区别 4 块级作用域的使用 5 模板字符串的详解 6 ES6函数的增强用法 一个执行上下文关联两个环境。词法环境和变量环境。 词法环境是由let和const创建;变量环境是由var创建的。 let-const的基本使用、不能…

网络安全现状,一个黑客真实的收入

前言 上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。 一个黑客年薪是多少呢? 外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客分为白帽黑客和黑帽黑客&#xff0…

R语言实现SMOTE与SMOGN算法解决不平衡数据的回归问题

本文介绍基于R语言中的UBL包,读取.csv格式的Excel表格文件,实现SMOTE算法与SMOGN算法,对机器学习、深度学习回归中,训练数据集不平衡的情况加以解决的具体方法。 在之前的文章Python实现SMOGN算法解决不平衡数据的回归问题&#x…

源码安装 gcc遇到的问题

1、需要的工具和库的安装1 见https://gcc.gnu.org/install/preprequisites.hml 2、源码下载和依赖的工具的源码的下载 在https://gcc.gnu.org/mirrors.html中选择一个镜像源的链接打开,下边以日本的源(http://ftp.tsukuba.wide.ad.jp/software/gcc/)为例。 2.1 …

MySQL数据库的备份与还原、视图基础操作

一、备份与还原 1、使用mysqldump命令备份数据库中的所有表 mysqldump -uroot -p#$%#*#^* booksDB authorbook authors books > /backup/db/booksDB.spl 2、备份booksDB数据库中的books表 mysqldump -uroot -p*&*&……%¥#¥% booksDB books …

FreeRTOS(任务调度)

任务调度 什么是任务调度? 调度器就是使用相关的调度算法来决定当前需要执行的哪个任务。 FreeRTOS中开启任务调度的函数是 vTaskStartScheduler() ,但在 CubeMX 中被封装为 osKernelStart() 。 FreeRTOS的任务调度规则是怎样的? FreeRTOS…

QT禁用窗口【关闭】按钮的实现方法

QT禁用窗口关闭按钮的实现方法,直接在窗体类构造函数的内部写入setWindowFlags(Qt::CustomizeWindowHint | Qt::WindowMinimizeButtonHint | Qt::WindowMaximizeButtonHint)即可实现,案例如下: #include "form.h" #include "…