攻击流量和复杂性逐年增长的趋势下,企业如何做好DDoS防御?

发布时间:2020-12-01 10:00:00

       NBWNaWas最新发布的DDoS监测报告显示,2020年第一季度,组织已观察到140 Gbps的超大规模DDoS攻击。而在2019年,观察到的最大攻击流量是124 Gbps2018年最大攻击流量为68 Gbps。可见DDoS攻击规模正逐年扩大。


2019年排名前10位的DDoS攻击类型

        复杂性方面,尽管2019DDoS攻击数量略有下降,但其复杂程度相比往年显著增加。报告指出,“2019年观察到的最复杂的攻击使用了30种矢量,换而言之,攻击者在一次攻击中就使用了30种不同攻击方法的组合而在2018年,攻击矢量的最大数量是12DDoS攻击的复杂性及规模的增加与几年来DDoS的发展趋势相吻合。


        一、常见的DDoS攻击方式有哪些?

        DDoS的核心是利用分布式客户端向攻击目标发起大量看起来合法的请求,消耗或者占用大量资源,从而达到拒绝服务的目的。

        常见攻击方法有 4 种:

        1. 攻击带宽当网络数据包的数量达到或者超过上限时,会出现网络拥堵、响应缓慢的情况。DDoS利用此原理发送大量数据包,占满攻击目标的全部带宽,从而造成正常请求失效,达到拒绝服务的目的。攻击者可以使用ICMP洪水攻击(发送大量ICMP相关报文)、或者UDP洪水攻击(发送用户数据报协议的包),使用伪造源IP地址的方式进行隐匿。

        2. 攻击系统创建TCP连接需要客户端与服务器进行三次交互,也就是常说的三次握手。交互信息通常被保存在连接表中,但当表的大小超过存储量,服务器就无法创建新的TCP连接。攻击者利用这一点,用受控主机建立大量恶意的TCP连接,占满被攻击目标的连接表,使其无法接受新的TCP连接请求。


        3. 攻击应用由于DNSWeb服务的广泛性和重要性,这两种服务成为消耗应用资源的DDoS攻击的主要目标。比如,向DNS服务器发送大量查询请求,从而达到拒绝服务的效果。一旦DNS不可用,大量网络服务都会受到影响而无法正常使用。

        4. 混合攻击实际生活中,攻击者并不关心具体使用哪种攻击方法,只要能够达到目的,一般就会发动其所有的攻击手段,尽其所能的展开攻势。而对于被攻击者来说则需要面对不同协议、不同资源的分布式拒绝服务攻击,分析、响应和处理的成本会大大增加。 

  

       二、 如何做好DDoS防御?

        对抗DDoS攻击是一个涉及多层面的问题,目前主要分为两类:大流量攻击可以选择交给运营商及云端清洗,小流量攻击在企业本地进行设备防护。

        1. 选择高性能设备保证网络设备不成为瓶颈。选择路由器、交换机、硬件防火墙等设备时尽量选用知名度高、口碑好的产品。

        2. 保证带宽网络带宽直接决定抗攻击能力,假若仅仅只有10M带宽,无论采取什么措施都很难对抗现在的SYN Flood攻击。

        3. 及时升级在带宽有保证的前提下尽量提升硬件配置。优化资源使用,提高web server的负载能力。


        4. 流量清洗通过DDoS硬件防火墙对异常流量进行清洗过滤。通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术能准确判断外来访问流量是否异常,进一步将异常流量禁止过滤。

        5. 选择静态页面搭建网站将网站尽可能做成静态页面,不仅能大大提高抗攻击能力,还能给黑客入侵带来不少麻烦,最好在需要调用数据库的脚本中,拒绝使用代理访问。

        6.分布式集群防御分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10GDDoS攻击,如一个节点受攻击无法提供服务,系统会根据优先级设置自动切换到另一节点,并将攻击者的数据包全部返回发送点,令攻击源成为瘫痪状态。

          可以预见,随着全球互联网业务的快速发展,DDoS攻击的频率还会大幅度增长,攻击手段也会更加复杂。网络安全是长期持续性而非阶段性的工作,需要时刻保持警觉。企业须与各方合作,提前做好应急方案,未雨绸缪。

          中科三方作为中国科学院控股有限公司(简称“国科控股”或“中科院控股“)旗下域名管理专家,专注域名相关技术领域20载 ,已通过公安部信息安全等级保护(三级)认证 ,中石油、工商银行、家乐福、百事可乐知名企业和大多数省部级以上国家机关的共同选择
上一篇:还在用又慢又不安全的传统DNS?云解析了解一下! 下一篇:关于SSL证书,你知道多少?