高防服務器能夠有效的防御百分之九十幾的DDOS攻擊,而一個好的BGP線路加上進出大流量的擁有高防防火墻機房幾乎可以無視DDOS攻擊。
分布式拒絕服務攻擊是每個企業最糟糕的噩夢。一分鐘前,一切都正常。一分鐘后,您的基礎設施卻遭遇來自互聯網的虛假流量的海嘯。合法用戶發現自己被鎖定,而你的生意卻無法正常進行,除非你提前租用了優質的高防BGP服務器,為自己做好準備,否則你無能為力。
如今,攻擊者可以輕松地執行DDoS攻擊。由成千上萬臺受到攻擊的PC組成的僵尸網絡可以廉價租用,并且可以在地下市場上輕松獲得能夠自動攻擊的軟件。據記錄,每秒數十吉比特的攻擊達到峰值,每年的峰值攻擊規模都在增長。
雖然一些證據表明,在經濟動機的犯罪企業中,大規模的暴力DDoS攻擊已經失寵,但幾乎沒有跡象表明DDoS會更普遍地下降。 DDoS攻擊是如此難以阻止,以至于一些公司投降敲詐勒索并不是聞所未聞,悄悄地向攻擊者交出數十或數十萬美元的保護金,以使問題消失。
如果沒有支付,完全阻止確定的DDoS攻擊是非常困難的。但是,在系統設計和實時操作期間,組織可以采取四種一般措施來降低真實用戶和客戶在攻擊期間遭受破壞的風險。成功的防御涉及使用所有四種技術:
1.過度配置
許多DDoS攻擊本質上是暴力攻擊,過度配置是一種強力防御。你的對手只需要給你足夠的流量來壓倒你的容量。通過配置比正常操作期間預期更多的流量,您可以降低成功的機會并限制對用戶的影響。您不一定需要提供40Gbps的攻擊 - 并非所有攻擊者都擁有龐大的僵尸網絡武器庫 - 但您的目標應該是準備流量,這是您在正常操作中經歷的許多倍。
有些人在設計網絡時,傾向于提供高預期的真實流量。例如,電子商務網站可能為季節性銷售高峰提供足夠的容量。這幾乎不足以抵御大規模的DDoS攻擊。如果正常業務意味著每天訪問60,000次,那么預計DDoS攻擊可以在一分鐘內輕松地發送大量流量。這意味著在一次24小時的攻擊中就有8600萬次“訪問”。僅提供60,000次訪問的網站將很快陷入困境。
構建硬件基礎架構時,一個好的經驗法則是提供正常峰值流量的十倍。計算出您曾經擁有的最多流量,將其乘以10,并部署足夠的硬件以至少應對該級別的活動。
類似的規則適用于帶寬,因此您必須確保您的合同足夠靈活,以允許進入系統的流量“突發”到正常音量的許多倍。您不希望您的連接提供商關閉您網站的所有流量,以防止對其他客戶造成附帶損害。計算出您的網站在正常情況下消耗的最大帶寬量,然后檢查您的合同是否允許持續爆發十倍于該數量的內容。請記住,處理這么多的流量也會大大超出您的支票簿。
2.遠程/冗余監控
如果正常運行時間對您很重要,那么您可能已經擁有適當的系統來監控站點的性能和可用性。但是,如果內部監控系統也受到DDoS攻擊,那么它們的實用性可能會有限。如果設計為在網絡出現問題時提醒您的系統與其監控的站點位于同一瓶頸后,則警報可能無法及時進入您的電話或收件箱。
當你受到攻擊時,很快就會知道你受到了攻擊。更可靠的替代方案是訂閱第三方服務,該服務可以從互聯網上的許多其他地方全天候監控您的網站,從真正的最終用戶角度評估其響應能力,并在發現問題時向您的手機提供警報。
3.轉儲日志
您的Web服務器日志無法區分真正的訪問者和僵尸網絡節點。兩次訪問通常都以相同的方式記錄。即使您的服務器配置正確并且能夠從DDoS攻擊洪水中恢復,如果其日志堆積起來,如果服務器因日志變得太大而失敗,您通常會受到傷害。雖然日志數據可能在攻擊結束后用于取證目的,但其價值相對有限。服務器能夠在攻擊期間響應真正的用戶,這一點非常重要。
如果您發現日志文件變得非常快,那么您將面臨保留數據和丟失服務器,丟失數據和保留服務器之間的選擇。如果您的Web服務器是關鍵任務且大型日志文件阻止您恢復,則應明確選擇:轉儲日志。
4.了解供應商的人員
雖然在技術上可以在本地配置網絡硬件以丟棄一些惡意數據包,但理想情況下,您希望將受限制的流量限制在盡可能靠近源的位置。這意味著必須與您的上游提供商進行協調。
不幸的是,如果你的對手已經正確地進行了偵察,他將在最不方便的時間發動攻擊。提示您收到傳入DDoS的短信很有可能會在周六早上凌晨1點到達,此時您和您的常規ISP聯系人都將在周末休息。
文章題目:高防服務器如何抵御DDOS攻擊?
網站路徑:http://m.newbst.com/hangye/fwqtg/n7946.html
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯