8月25日晚,錘子“堅果手機”釋出會因故推遲、PPT一堆錯漏、搶紅包故障,據悉是因錘子官網伺服器遭遇了數十G流量DDoS惡意攻擊,現場PPT也是臨時趕製、邊寫邊用,好端端的一場釋出會被DDoS攻擊搞的狼狽不堪。
分散式拒絕服務攻擊(DDoS)是目前常見的網路攻擊方法,它的英文全稱為Distributed Denial of Service?簡單來說,很多DoS攻擊源一起攻擊某臺伺服器就形成了DDOS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者將攻擊程式透過代理程式安裝在網路上的各個“肉雞”上,代理程式收到指令時就發動攻擊。
DDoS攻擊的危害很大,而且很難防範,可以直接導致網站當機、伺服器癱瘓,造成權威受損、品牌蒙羞、財產流失等巨大損失,嚴重威脅著中國網際網路資訊保安的發展。
圖:DDoS攻擊示意圖
DDOS防護的特點
隨著DDOS攻擊在網際網路上的肆虐氾濫,使得DDoS的防範工作變得更加困難。資料顯示,今年Q2,DDoS攻擊活動創下新紀錄,同比增長了132%。其中,最大規模的DDoS攻擊峰值流量超過了240 Gbps,持續了13個小時以上。目前而言,駭客甚至對攻擊進行明碼標價,打1G的流量到一個網站一小時,只需50塊錢。DDoS的成本如此之低,使用如此之囂張,而且攻擊了也沒人管,那麼,廣大的網站使用者應該採取怎樣的措施進行有效的防禦呢?下面我就介紹一下防禦DDoS的基本方法。
1、保證伺服器系統的安全
首先要確保伺服器軟體沒有任何漏洞,防止攻擊者入侵。確保伺服器採用最新系統,並打上安全補丁。在伺服器上刪除未使用的服務,關閉未使用的埠。對於伺服器上執行的網站,確保其打了最新的補丁,沒有安全漏洞。
2、隱藏伺服器的真實IP地址
伺服器前端加CDN中轉(免費的有百度雲加速、360網站衛士、加速樂、安全寶等),如果資金充裕的話,可以購買高防的盾機,用於隱藏伺服器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,伺服器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。
另外,防止伺服器對外傳送資訊洩漏IP地址,最常見的情況是,伺服器不要使用傳送郵件功能,因為郵件頭會洩漏伺服器的IP地址。如果非要傳送郵件,可以透過第三方代理(例如sendcloud)傳送,這樣對外顯示的IP是代理的IP地址。
總之,只要伺服器的真實IP不洩露,10G以下小流量DDOS的預防花不了多少錢,免費的CDN就可以應付得了。如果攻擊流量超過20G,那麼免費的CDN可能就頂不住了,需要購買一個高防的盾機來應付了,而伺服器的真實IP同樣需要隱藏。
本文由【群偉偉部落格】蒐集整理,本文網址:http://www.qunweiwei.com/xinwen/322.html 歡迎分享本文,轉載請註明出處。