很多互联网企业都有遭到过网络攻击的经历,常规的网络攻击可以通过部署一套安全防护系统来最大限度的防止攻击发生。但 DDOS 攻击是一个完全不同的攻击方式,你无法阻止黑客对你的服务器发动 DDoS 攻击,除非你主动断开互联网连接。如果我们无法防止这种攻击,那么怎么做才能最大限度减轻 DDOS 攻击对企业造成的危害和影响?首先应该清楚的了解 DDoS 攻击的三个阶段,然后再学习如何将这种攻击的危害降到最低。
黑客发起 DDoS 攻击一般分为三个阶段:
第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的 IP 地址。这个被锁定的 IP 地址可能是企业的 Web 服务器, DNS 服务器,互联网网关等。而选择这些目标进行攻击的目的同样多种多样,比如为了赚钱 ( 敲诈勒索 ) ,同行竞争或者只是以破坏为乐。
第二个阶段是准备阶段:在这个阶段,黑客会入侵互联网上大量的没有良好防护系统的计算机 ( 除了传统的 PC 电脑外,各种智能物联网设备都可以成为入侵目标 ) 。黑客会在这些计算机中植入日后攻击目标所需的工具。
第三个阶段是实际攻击阶段:黑客会将攻击命令发送到所有被入侵的计算机 ( 也就是僵尸计算机,俗称“肉鸡” ) 上,并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包,导致目标服务器带宽被占满或无法处理大量的数据而宕机。
“厉害”点的黑客还会让这些僵尸计算机伪造发送攻击数据包的 IP 地址,并且将攻击目标的 IP 地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发 ( 即反射 ) 给原始 IP 地址一个接收响应,更加重了目标主机所承受的数据流。因此,我们无法阻止这种 DDoS 攻击,但是知道了这种攻击的原理,我们就可以尽量减小这种攻击所带来的影响。
减少攻击影响
入侵过滤 (Ingressfiltering) 是一种简单而且所有网络 (ISP) 都应该实施的安全策略。在你的网络边缘 ( 比如每一个与外网直接相连的路由器 ) ,应该建立一个路由声明,将所有数据来来源 IP 标记为本网地址的数据包丢弃。虽然这种方式并不能防止 DDoS 攻击,但是却可以预防 DDoS 反射攻击。
减轻 DDoS 攻击危害
但是很多大型 ISP 好像都因为各种原因拒绝实现入侵过滤,因此我们需要其它方式来降低 DDoS 带来的影响。目前最有效的一个方法就是反追踪 (backscattertracebackmethod) 。 要采用这种方式,首先应该确定目前所遭受的是外部 DDoS 攻击,而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置,拒绝所有流向 DDoS 攻击目标的数据流。另外,还要在这些边缘路由器端口上进行配置,将全部无效或无法定位的数据来源 IP 的数据包丢弃。
DDoS 攻击是目前互联网最常见也是最难预防的网络攻击之一,由于 DDOS 攻击是利用网络协议漏洞而发起的,所以无法做到完全避免(除非你断网),但是可以通过以上方式及时减轻这种攻击对网络的影响。同时可以通过接入墨者盾高防 CDN ,将服务器源 IP 隐藏,智能识别 DDoS 攻击流量,事前拦截,事后溯源,全方位防黑,保障服务器稳定运行。