中科三方|如何防御DDoS攻击?,复杂性和流量规模逐年增长的趋势下

据NBWNaWas最新发布的DDoS监测报告显示 , 2020年第一季度 , 组织已观察到140Gbps的超大规模DDoS攻击 。
而在2019年 , 观察到的最大攻击流量是124Gbps;2018年的最大攻击流量则是68Gbps 。 可见DDoS攻击规模正逐年扩大 。
中科三方|如何防御DDoS攻击?,复杂性和流量规模逐年增长的趋势下
文章图片
复杂性方面 , 尽管2019年DDoS攻击数量略有下降 , 但其复杂程度相比往年显著增加 。
报告指出 , “我们在2019年观察到的最复杂的攻击使用了30种矢量 , 换而言之 , 攻击者在一次攻击中就使用了30种不同攻击方法的组合 。 ”而在2018年 , 攻击矢量的最大数量是12 。
【中科三方|如何防御DDoS攻击?,复杂性和流量规模逐年增长的趋势下】DDoS攻击的复杂性和规模的增加与几年来DDoS的发展趋势相吻合 。
常见的DDoS攻击方式有哪些?
DDoS的核心是利用分布式客户端向攻击目标发起大量“看上去”合法的请求 , 消耗或者占用大量资源 , 从而达到拒绝服务的目的 。
常见攻击方法有4种:
1.攻击带宽
当网络数据包的数量达到或者超过上限时 , 会出现网络拥堵、响应缓慢的情况 。 DDoS利用此原理发送大量数据包 , 占满攻击目标的全部带宽 , 从而造成正常请求失效 , 达到拒绝服务的目的 。
攻击者可以使用ICMP洪水攻击(发送大量ICMP相关报文)、或者UDP洪水攻击(发送用户数据报协议的包) , 使用伪造源IP地址的方式进行隐匿 。
2.攻击系统
创建TCP连接需要客户端与服务器进行三次交互 , 也就是常说的“三次握手” 。 交互信息通常被保存在连接表中 , 但当表的大小超过存储量 , 服务器就无法创建新的TCP连接 。
攻击者利用这一点 , 用受控主机建立大量恶意的TCP连接 , 占满被攻击目标的连接表 , 使其无法接受新的TCP连接请求 。
3.攻击应用
由于DNS和Web服务的广泛性和重要性 , 这两种服务成为消耗应用资源的DDoS攻击的主要目标 。
比如 , 向DNS服务器发送大量查询请求 , 从而达到拒绝服务的效果 。 一旦DNS不可用 , 大量网络服务都会受到影响而无法正常使用 。
4.混合攻击
实际生活中 , 攻击者并不关心具体使用哪种攻击方法 , 只要能够达到目的 , 一般就会发动其所有的攻击手段 , 尽其所能的展开攻势 。 而对于被攻击者来说则需要面对不同协议、不同资源的分布式拒绝服务攻击 , 分析、响应和处理的成本会大大增加 。
中科三方|如何防御DDoS攻击?,复杂性和流量规模逐年增长的趋势下
文章图片
如何做好DDoS防御?
对抗DDoS攻击是一个涉及多层面的问题 , 目前主要分为两类:大流量攻击可以选择交给运营商及云端清洗 , 小流量攻击在企业本地进行设备防护 。
1.选择高性能设备
保证网络设备不成为瓶颈 。 选择路由器、交换机、硬件防火墙等设备时尽量选用知名度高、口碑好的产品 。
2.保证带宽
网络带宽直接决定抗攻击能力 , 假若仅仅只有10M带宽 , 无论采取什么措施都很难对抗现在的SYNFlood攻击 。
3.及时升级
在带宽有保证的前提下尽量提升硬件配置 。 优化资源使用 , 提高webserver的负载能力 。
4.流量清洗
通过DDoS硬件防火墙对异常流量进行清洗过滤 。 通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术能准确判断外来访问流量是否异常 , 进一步将异常流量禁止过滤 。
5.选择静态页面搭建网站
将网站尽可能做成静态页面 , 不仅能大大提高抗攻击能力 , 还能给黑客入侵带来不少麻烦 , 最好在需要调用数据库的脚本中 , 拒绝使用代理访问 。
6.分布式集群防御
分布式集群防御的特点是在每个节点服务器配置多个IP地址 , 并且每个节点能承受不低于10G的DDoS攻击 , 如一个节点受攻击无法提供服务 , 系统会根据优先级设置自动切换到另一节点 , 并将攻击者的数据包全部返回发送点 , 令攻击源成为瘫痪状态 。