若要缓解 DDoS 攻击,关键在于区分攻击流量与正常流量。

例如,如果因发布某款产品导致公司网站涌现大批热情客户,那么全面切断流量是错误之举。如果公司从已知恶意用户处收到的流量突然激增,或许需要努力缓解攻击。

难点在于区分真实客户流量与攻击流量。

在现代互联网中,DDoS 流量以多种形式出现。流量设计可能有所不同,从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。

多方位 DDoS 攻击采用多种攻击手段,以期通过不同的方式击垮目标,很可能分散各个层级的缓解工作注意力。

同时针对协议堆栈的多个层级(如 DNS 放大(针对第 3/4 层)外加 HTTP 洪水(针对第 7 层))发动攻击就是多方位 DDoS 攻击的一个典型例子。

为防护多方位 DDoS 攻击,需要部署多项不同策略,从而缓解不同层级的攻击。

一般而言,攻击越复杂,越难以区分攻击流量与正常流量 —— 攻击者的目标是尽可能混入正常流量,从而尽量减弱缓解成效。

如果缓解措施不加选择地丢弃或限制流量,很可能将正常流量与攻击流量一起丢弃,同时攻击还可能进行修改调整以规避缓解措施。为克服复杂的破坏手段,采用分层解决方案效果最理想。

黑洞路由

有一种解决方案几乎适用于所有网络管理员:创建黑洞路由,并将流量汇入该路由。在最简单的形式下,当在没有特定限制条件的情况下实施黑洞过滤时,合法网络流量和恶意网络流量都将路由到空路由或黑洞,并从网络中丢弃。

如果互联网设备遭受 DDoS 攻击,则该设备的互联网服务提供商(ISP)可能会将站点的所有流量发送到黑洞中作为防御。这不是理想的解决方案,因为它相当于让攻击者达成预期的目标:使网络无法访问。

速率限制

限制服务器在某个时间段接收的请求数量也是防护拒绝服务攻击的一种方法。

虽然速率限制对于减缓 Web 爬虫窃取内容及防护暴力破解攻击很有帮助,但仅靠速率限制可能不足以有效应对复杂的 DDoS 攻击。

然而,在高效 DDoS 防护策略中,速率限制不失为一种有效手段。

Web 应用程序防火墙

Web 应用程序防火墙(WAF) 是一种有效工具,有助于缓解第 7 层 DDoS 攻击。在互联网和源站之间部署 WAF 后,WAF 可以充当反向代理,保护目标服务器,防止其遭受特定类型的恶意流量入侵。

Anycast 网络扩散

此类缓解方法使用 Anycast 网络,将攻击流量分散至分布式服务器网络,直到网络吸收流量为止。

这种方法就好比将湍急的河流引入若干独立的小水渠,将分布式攻击流量的影响分散到可以管理的程度,从而分散破坏力。

Anycast 网络在缓解 DDoS 攻击方面的可靠性取决于攻击规模及网络规模和效率。采用 Anycast 分布式网络是 Cloudflare 实施 DDoS防护策略的一个重要组成部分。

Cloudflare 拥有 100 Tbps 的网络,比有记录的最大 DDoS 攻击大一个数量级。

如果您目前恰好受到攻击,可以采取一些措施摆脱压力。如果已使用 Cloudflare,则可按照以下步骤缓解攻击。

我们在 Cloudflare 实施多方位 DDoS 保护,从而缓解可能采用的大量攻击手段。

如何防护 DDoS 攻击?相关推荐

  1. 服务器防护ddos攻击的几种方法

    在享受网络给我们企业带来便捷和高效的同时,越来越多的病毒木马也让中小企业不少烦心.面对病毒层出不穷的花样以及网络黑客.安全事件的越演越烈,作为企业的我们,应该如何防护? DDoS攻击高防服务器的几种方 ...

  2. 什么是游戏盾防护?防护DDOS攻击无视CC攻击

    什么是游戏盾防护?游戏盾是DDOS高防IP产品系列中针对各大攻击行业的安全解决方案.游戏盾专为大攻击行业定制,针对性解决行业中复杂的DDoS攻击.CC攻击等问题.要定制开通游戏盾方案联系快快网络豆豆. ...

  3. 僵尸网络之如何防护DDoS攻击,愿这个世界再无黑产

    *严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 大家好,最近看到国外有一篇和僵尸网络有关的文章,今天分享给各位. 当然,我们面对DDoS当然是可以防御的,就比如云清洗.我写这篇文章的目的是为 ...

  4. 一文了解如何有效的防护DDoS攻击

    想象一下有人使用不同的电话号码一遍又一遍地打电话给你,而你也无法将他们列入黑名单.最终你可能会选择关闭手机,从而避免骚扰.这个场景就是常见的分布式拒绝服务(DDoS)攻击的样子. 乔布斯(Steve ...

  5. 如何防护DDOS攻击

    DDOS攻击的趋势呈现出明显的增长趋势,特别是在网络攻击技术的发展和攻击者的技术水平提高的情况下,DDOS攻击的发生频率和规模也在不断增加.此外,随着网络技术的发展,攻击者也可以利用更多的技术手段来实 ...

  6. 什么是 DDos 攻击

    一.简介 1.中文名称:分布式拒绝服务,英文全称:distributed denial-of-service . 2.具体含义 通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器.服 ...

  7. Radware为夏威夷电信公司全新的DDoS攻击缓解服务提供支持

    日前,全球领先的网络安全和应用交付解决方案提供商Radware®(NASDAQ: RDWR)公司宣布,夏威夷电信公司(NASDAQ: HCOM)全新的云安全互联网防护服务中采用了Radware的实时分 ...

  8. ddos攻击怎么防御,一文了解如何防御DDoS攻击

    DDoS攻击是目前最普遍的网络攻击手段,DDoS攻击非常受黑客欢迎,因为DDoS攻击非常有效,易于启动,并且几乎不会留下痕迹.那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级 ...

  9. 宝塔防火墙可以防ddos攻击吗

    最近遇到一个有趣的问题,那就是一位客户咨询主机吧,宝塔面板的防火墙可以防ddos攻击吗? 主机吧的答案是不能的. DDoS本身是一个网络流量攻击,通过对攻击目标产生大量非法请求,占用其网络,使目标网络 ...

最新文章

  1. ResNeSt 登顶COCO数据集(目标检测,实例分割,全景分割)
  2. Computer Browser服务不能启动
  3. (转)Maven之自定义archetype生成项目骨架
  4. fedora 忘记root密码
  5. rsa算法python_GitHub 热门:Python 算法大全,Star 超过 2 万
  6. (转)SpringMVC学习(四)——Spring、MyBatis和SpringMVC的整合
  7. ado显示,删除后刷新重新显示
  8. 的序号数据是什么_Excel技巧—一劳永逸制作自动更新序号
  9. mysql did not start_mysql 服务无法启动
  10. Bailian2886 能被3除尽的数之和【进制】
  11. node.js使用cluster实现多进程
  12. nmf算法 python_推荐算法——非负矩阵分解(NMF)
  13. 在线caj免费转换Word格式
  14. “潜力工作者”会不会成为明年24届秋招统计参数中的受害者?
  15. 倩女手游怎么查看服务器信息,倩女幽魂手游新增互通服务器 互通服务器信息介绍[图]...
  16. 显示Java国家列表
  17. 文献阅读笔记 《具有目标定位和边界保持的基于个人注视的目标分割》
  18. C语言实现人民币小写转大写
  19. 部分只能在实机运行的APP抓包思路-免root框架神器
  20. [机器学习-5]岭回归及python实现(Ridge Regression)

热门文章

  1. c语言把char转化为string,浅析string 与char* char[]之间的转换
  2. echarts 盒须图配置
  3. android网络的评分机制、连接国内ap wifi不回连问题
  4. ChatGPT初体验step by step:ChatGPT解决人类提出的数理逻辑问题,Python编程实践
  5. u8系统服务器已停止怎么办,紧急通知!用友U8报错:enterpriseportal 已停止工作的解决办法!...
  6. 4 、python学习笔记第四课:对象、标识符、变量、赋值、常量
  7. JS数组转字符串传到JAVA后端取出
  8. 【u-boot】u-boot-2016.09 make编译过程分析(二)
  9. java输入长宽高计算表面积_设计一个C语言程序计算长方体体积和表面积,长宽高通过键盘输入?????...
  10. linux服务器安装anaconda,然后远程使用jupyter