有哪些防护措施可以解决DDOS攻击?
Dos拒绝服务攻击是通过各种手段消耗网络带宽和系统CPU、内存、连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务。
常规流量型的DDos攻击应急防护方式因其选择的引流技术不同而在实现上有不同的差异性,主要分为以下三种方式,实现分层清洗的效果。
1. 本地DDos防护设备
一般恶意组织发起DDos攻击时,率先感知并起作用的一般为本地数据中心内的DDos防护设备,金融机构本地防护设备较多采用旁路镜像部署方式。
本地DDos防护设备一般分为DDos检测设备、清洗设备和管理中心。首先,DDos检测设备日常通过流量基线自学习方式,按各种和防御有关的维度:
比如syn报文速率、http访问速率等进行统计,形成流量模型基线,从而生成防御阈值。
学习结束后继续按基线学习的维度做流量统计,并将每一秒钟的统计结果和防御阈值进行比较,超过则认为有异常,通告管理中心。
由管理中心下发引流策略到清洗设备,启动引流清洗。异常流量清洗通过特征、基线、回复确认等各种方式对攻击流量进行识别、清洗。
经过异常流量清洗之后,为防止流量再次引流至DDos清洗设备,可通过在出口设备回注接口上使用策略路由强制回注的流量去往数据中心内部网络,访问目标系统。
2. 运营商清洗服务
当流量型攻击的攻击流量超出互联网链路带宽或本地DDos清洗设备性能不足以应对DDos流量攻击时,需要通过运营商清洗服务或借助运营商临时增加带宽来完成攻击流量的清洗。
运营商通过各级DDos防护设备以清洗服务的方式帮助用户解决带宽消耗型的DDos攻击行为。实践证明,运营商清洗服务在应对流量型DDos攻击时较为有效。
3. 云清洗服务
当运营商DDos流量清洗不能实现既定效果的情况下,可以考虑紧急启用运营商云清洗服务来进行最后的对决。
依托运营商骨干网分布式部署的异常流量清洗中心,实现分布式近源清洗技术,在运营商骨干网络上靠近攻击源的地方把流量清洗掉,提升攻击对抗能力。
具备适用场景的可以考虑利用CNAME或域名方式,将源站解析到安全厂商云端域名,实现引流、清洗、回注,提升抗D能力。进行这类清洗需要较大的流量路径改动,牵涉面较大,一般不建议作为日常常规防御手段。
总结
以上三种防御方式存在共同的缺点,由于本地DDos防护设备及运营商均不具备HTTPS加密流量解码能力,导致针对HTTPS流量的防护能力有限;
同时由于运营商清洗服务多是基于Flow的方式检测DDos攻击,且策略的颗粒度往往较粗,因此针对CC或HTTP慢速等应用层特征的DDos攻击类型检测效果往往不够理想。
对比三种方式的不同适用场景,发现单一解决方案不能完成所有DDos攻击清洗,因为大多数真正的DDos攻击都是“混合”攻击(掺杂各种不同的攻击类型)。
比如:以大流量反射做背景,期间混入一些CC和连接耗尽,以及慢速攻击。这时很有可能需要运营商清洗(针对流量型的攻击)先把80%以上的流量清洗掉,把链路带宽清出来;
在剩下的20%里很有可能还有80%是攻击流量(类似CC攻击、HTTP慢速攻击等),那么就需要本地配合进一步进行清洗。
有哪些防护措施可以解决DDOS攻击?相关推荐
- linux shell ddos木马,利用Shell 脚本解决DDOS攻击问题
思路:主要利用 awk ,if结构,sort,uniq #!/bin/bash FilePath="access.log" awk '{print $1}' $FilePath | ...
- linux运维解决ddos,运维人员该如何排查并解决DDOS攻击
今天小编要跟大家分享的文章是关于运维人员该如何排查并解决DDOS攻击.DOS攻击或者DDOS攻击是试图让机器或者网络资源不可用的攻击.这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行,信用 ...
- php shell ddos,利用Shell 脚本解决DDOS攻击问题
思路:主要利用 awk ,if结构,sort,uniq #!/bin/bash FilePath="access.log" awk '{print $1}' $FilePath | ...
- 抗D十招:十个方法完美解决DDoS攻击防御难题
转载自:https://zhuanlan.zhihu.com/p/30150531 可以说,DDoS是目前最凶猛.最难防御的网络攻击之一.现实情况是,这个世界级难题还没有完美的.彻底的解决办法,但采取 ...
- 如何完美解决DDoS攻击
可以说,DDoS是目前最凶猛.最难防御的网络攻击之一.现实情况是,这个世界级难题还没有完美的.彻底的解决办法,但采取适当的措施以降低攻击带来的影响.减少损失是十分必要的.将DDoS防御作为整体安全策略 ...
- 解决DDOS攻击生产案例
根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP. 当然各个公司的IP并发数各有不同,上面只是举例说明. 因为我的Nginx的WEB日 ...
- APP为什么会被攻击?快速解决DDOS攻击,做好CC防御。
今日小蚁云安全给咱们讲讲服务器被ddos歹意进犯的那些事,首页给咱们讲讲我一朋友的亲身经历.我有一朋友开了一家游戏公司,最近几年游戏俨然现已成了咱们生活中不行缺少的部分,我这朋友渠道开展的也还不错. ...
- 用shell解决ddos攻击实例
提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100 即调用防火墙命令封掉对应的IP,监控频率每隔3分钟 防火墙命令为:iptables -A INPUT -s 1 ...
- php shell ddos,用shell解决ddos攻击实例
提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100 即调用防火墙命令封掉对应的IP,监控频率每隔3分钟 防火墙命令为:iptables -A INPUT -s 1 ...
- DDoS攻击已成掩盖真实网络攻击的烟雾弹
近年来,随着分布式拒绝服务(DDoS)攻击在规模.频率以及复杂性等方面的持续上升,让全球众多企业遭受到不同程度的损失.然而,通过分析安全专家们还发现,有些DDoS攻击仅仅只是网络犯罪分子为了掩盖其真实 ...
最新文章
- Focal Loss升级 E-Focal Loss让Focal Loss动态化,类别极端不平衡也得到提升
- 简单谈谈5G/C-V2X技术与自动驾驶的关系
- .NET Core 实现基于Websocket的在线聊天室
- PHP大数据处理【转】
- libevent项目分析(一) -- 准备阶段
- Docker学习总结(44)——Docker容器时间与主机时间不一致的三种解决方式
- prettyping.sh: ping 之美
- 逻辑删除用户后 用户名重复怎么办?
- Google人工智能面试·真·题(附参考答案+攻略)
- 如何构建自己的笔记系统?
- 邮箱大师手机版服务器异常,邮箱大师安装步骤 邮箱大师常见问题
- 用户体验五要素_用户体验五要素—结构性思考
- 智慧交通day02-车流量检测实现13:基于虚拟线圈法的车辆统计+视频中的车流量统计原理解析
- echarts官网demo
- 二、Spring AOP 切面的定义
- 2. ISBN 号码
- 生物素-磺酸-NHS 酯,119616-38-5,Biotin-Sulfo-NHS ester
- 算法可以用不同的语言描述如果用c语言,【判断题】算法可以用不同的语言描述,如果用C 语言或PASCAL语言等高级语言来描述,则算法实际上就是程序了。...
- 气势恢弘大气的英文字体免费下载[otf,ttf,woff]
- [连载]Java程序设计(02)---任务驱动方式:个人所得税计算器