很多企業長期遭受DDoS攻擊,尤其是棋牌類、金融業等企業。目前攻擊成本太低,造成很多企業要長期面對競爭對手或者其他組織個人的的DDoS攻擊。想要改變這種局面,可以選擇購買 阿里雲DDoS高防IP,但是價格又太貴,那麼如何緩解DDoS攻擊呢?
緩解DDoS攻擊的方法
他人發起DDoS攻擊你,那是外因,我們改變不了。但是我們可以從內做防禦,緩解DDoS攻擊。一般是從減少暴漏、優化架構、服務器加固、業務監控、商業解決方案等幾方面著手。
減少暴漏
攻擊之前,對方會掃描你的開放端口,針對你所提供的服務,讓殭屍網絡合法侵佔你的資源。所以我們儘量避免將服務器的端口暴漏在公網上。阿里雲的安全組可以有效防止系統被掃描或者意外暴露。
優化業務架構
運營前期,技術團隊都會對業務架構進行壓力測試,但很多時候,企業處於成本考慮,沒有做好彈性和冗餘,這導致我們在面對攻擊時,變得不堪一擊。
部署彈性伸縮+負載均衡:負載均衡能夠降低單臺ECS的壓力,可以有效緩解一定流量範圍內的連接層DDoS攻擊;負載均衡可以有效的緩解會話層和應用層攻擊,在遭受攻擊時自動增加服務器,提升處理性能,避免業務遭受嚴重影響。
餘量帶寬:利用TCP三次握手可以發起DDoS攻擊,佔用你的寬帶資源,所以在購買帶寬時確保有一定的餘量帶寬,可以避免遭受攻擊時帶寬大於正常使用量而影響正常用戶的情況。
服務安全加固
對服務器上的操作系統、軟件服務進行安全加固,減少可被攻擊的點,增大攻擊方的攻擊成本:
- 確保服務器的系統文件是最新的版本,並及時更新系統補丁。
- 對所有服務器主機進行檢查,清楚訪問者的來源。
- 過濾不必要的服務和端口。例如,對於WWW服務器,只開放80端口,將其他所有端口關閉,或在防火牆上設置阻止策略。
- 限制同時打開的SYN半連接數目,縮短SYN半連接的timeout時間,限制SYN/ICMP流量。
- 仔細檢查網絡設備和服務器系統的日誌。一旦出現漏洞或是時間變更,則說明服務器可能遭到了攻擊。
- 限制在防火牆外進行網絡文件共享。降低黑客截取系統文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能將會陷入癱瘓。
- 充分利用網絡設備保護網絡資源。在配置路由器時應考慮針對流控、包過濾、半連接超時、垃圾包丟棄、來源偽造的數據包丟棄、SYN閥值、禁用ICMP和UDP廣播的策略配置。
- 通過iptable之類的軟件防火牆限制疑似惡意IP的TCP新建連接,限制疑似惡意IP的連接、傳輸速率。
業務監控
阿里雲的雲監控服務可用於收集、獲取阿里雲資源的監控指標或用戶自定義的監控指標,探測服務的可用性,並支持針對指標設置警報。
商用安全方案
事實上,當企業一直遭受大規模的DDoS攻擊時,以上幾種防禦方法,顯得很渺小,分分鐘幾十G上百G的攻擊流量,只能通過尋求商業安全解決方案來解決。
例如,阿里雲防禦DDoS攻擊明星產品:阿里雲DDoS高防IP,但是價格不菲,退而求其次,阿里雲推出了 DDoS防護包,DDoS防護包可以提供防禦100G以內的DDoS攻擊的防護能力。
另外,如果一直遭受http Flood(CC攻擊)攻擊,可以考慮使用 Web應用防火牆(WAF),Waf可以對連接層攻擊、會話層攻擊和應用層攻擊提供有效的防禦服務。