ddos攻擊是什麼，如何防護

DDoS（Distributed Denial of Service，分佈式拒絕服務）

定義：

主要經過大量合法的請求佔用大量網絡資源，從而使合法用戶沒法獲得服務的響應，是目前最強大、最難防護的攻擊之一。

ddos攻擊最大的難點在於攻擊者發起的攻擊的成本遠低於防護的成本。好比黑客能夠輕易的控制大量肉雞發起10G，100G的攻擊。而要防護這樣的攻擊10G，100G帶寬的成本倒是100W，1000W….

分類：

1. 網絡層攻擊：SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等等
2. 應用層攻擊：

效果：

1. 佔滿網絡帶寬；
2. 提交大量請求，使服務器超負荷運行，響應緩慢；
3. 阻斷某一用戶訪問服務器；
4. 阻斷某服務與特定系統或我的的通信。

 

防禦：

1.針對第一種，須要在運營商網絡裏進行攻擊流量識別，清洗；

2.第二種須要對流量模型學習建模，防禦引擎要有多種方式檢測攻擊流量並自動生成過濾特徵。固然最重要是修復應用的脆弱設計；抗DDOS設備主要的技術難點在於如何準確判斷流量是攻擊流量仍是正常流量。流量清洗回注是沒多少技術含量的。固然光靠設備自動化防禦是遠遠不夠的，須要有應急團隊的專業服務。那些直接說不能防禦的人不知是神馬心態.

 

防護手段：

整體來講，從下面幾個方面考慮：

• 硬件
• 單個主機
• 整個服務器系統

 

硬件：

1. 增長帶寬

帶寬直接決定了承受攻擊的能力，增長帶寬硬防禦是理論最優解，只要帶寬大於攻擊流量就不怕了，但成本很是高。

 

二、提高硬件配置

在有網絡帶寬保證的前提下，儘可能提高CPU、內存、硬盤、網卡、路由器、交換機等硬件設施的配置，選用知名度高、 口碑好的產品。

 

三、 硬件防火牆

將服務器放到具備DDoS硬件防火牆的機房。專業級防火牆一般具備對異常流量的清洗過濾功能，可對抗SYN/ACK攻擊、TCP全鏈接攻擊、刷腳本攻擊等等流量型DDoS攻擊

 

單個主機:

一、及時修復系統漏洞，升級安全補丁。

二、關閉沒必要要的服務和端口，減小沒必要要的系統加載項及自啓動項，儘量減小服務器中執行較少的進程，更改工做模式

三、iptables

四、嚴格控制帳戶權限，禁止root登陸，密碼登陸，修改經常使用服務的默認端口

 

整個服務器系統：

1. 負載均衡

使用負載均衡將請求被均衡分配到各個服務器上，減小單個服務器的負擔。

二、CDN

CDN是構建在網絡之上的內容分發網絡，依靠部署在各地的邊緣服務器，經過中心平臺的分發、調度等功能模塊，使用戶就近獲取所需內容，下降網絡擁塞，提升用戶訪問響應速度和命中率，所以CDN加速也用到了負載均衡技術。相比高防硬件防火牆不可能扛下無限流量的限制，CDN則更加理智，多節點分擔滲透流量，目前大部分的CDN節點都有200G 的流量防禦功能，再加上硬防的防禦，能夠說能應付目絕大多數的DDoS攻擊了。

3. 分佈式集羣防護

分佈式集羣防護的特色是在每一個節點服務器配置多個IP地址，而且每一個節點能承受不低於10G的DDoS攻擊，如一個節點受攻擊沒法提供服務，系統將會根據優先級設置自動切換另外一個節點，並將攻擊者的數據包所有返回發送點，使攻擊源成爲癱瘓狀態，從更爲深度的安全防禦角度去影響企業的安全執行決策。

 四、安全域劃分

 

其餘：

一、預防措施和應急預案