防護(hù)產(chǎn)品每年都在迭代更新，黑客的攻擊手段看似沒啥變化,但是數(shù)據(jù)量每年都在增加,使得更多用戶接觸到這方面來,互聯(lián)網(wǎng)安全也越來越得到大家的重視，因?yàn)樵S多黑客會(huì)通過各種ddos攻擊手段來獲取非法盈利。如果你的服務(wù)器正在被ddos攻擊，你知道服務(wù)器被ddos攻擊了怎么辦嗎?這里為大家詳細(xì)介紹一下解決方法。 不過首先，我們來了解下，什么是ddos攻擊。ddos攻擊是目前常見的網(wǎng)絡(luò)攻擊方法，它的英文全稱為Distributed Denial of Service 簡單來說，很多DDoS攻擊源一起攻擊某臺(tái)服務(wù)器就形成了DDOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。一般受攻擊的服務(wù)器會(huì)因?yàn)榱髁棵蜐q，內(nèi)存占用過高而打不開。 服務(wù)器被ddos攻擊了怎么辦?當(dāng)受到DDoS攻擊時(shí)，可以選擇用一些軟防防火墻占用帶寬來進(jìn)行防御，或者選擇機(jī)房進(jìn)行流量遷移和清洗，這種兩種方法對(duì)于小流量攻擊的確有效，而且價(jià)格也便宜。但是當(dāng)攻擊者使用大流量DDoS攻擊時(shí)，這兩種方法就完全道防御不住了，這種情況就必須考慮更換更高防護(hù)的高防服務(wù)器了，高防的優(yōu)勢(shì)還是很明顯的，配置簡單，接入方便見效快，對(duì)于大流量攻擊也完全不在話下。 DDoS攻擊防御是一個(gè)非常龐大的工程，下面我們就從三個(gè)方面(網(wǎng)絡(luò)設(shè)施、防御方案、預(yù)防手段)來談?wù)劦钟鵇DoS攻擊的一些基本措施、防御思想及服務(wù)方案。 服務(wù)器被ddos攻擊了怎么辦？

一.網(wǎng)絡(luò)設(shè)備設(shè)施

網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ)，用足夠的機(jī)器、容量去承受攻擊，充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略，說到底攻防也是雙方資源的比拼，在它不斷訪問用戶、奪取用戶資源之時(shí)，自己的能量也在逐漸耗失。相應(yīng)地，投入資金也不小，但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ)，需要根據(jù)自身情況做出平衡的選擇。 1. 擴(kuò)充帶寬硬抗 網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過1G，超過100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過控制一些服務(wù)器、個(gè)人電腦等成為肉雞，如果控制1000臺(tái)機(jī)器，每臺(tái)帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)業(yè)務(wù)發(fā)動(dòng)攻擊，導(dǎo)致服務(wù)器帶寬瞬間就被占滿了。增加硬防護(hù)是理論最優(yōu)解，只要防護(hù)大于攻擊流量就不怕了，但成本也是難以承受之痛，國內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月，買10G帶寬頂一下就是100萬，因此許多人調(diào)侃拼帶寬就是拼人民幣，以至于很少有人愿意花高價(jià)買大帶寬做防御。 2.保證服務(wù)器系統(tǒng)的安全 首先要確保服務(wù)器軟件沒有任何漏洞，防止攻擊者入侵。確保服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。在服務(wù)器上刪除未使用的服務(wù)，關(guān)閉未使用的端口。對(duì)于服務(wù)器上運(yùn)行的網(wǎng)站，確保其打了最新的補(bǔ)丁，沒有安全漏洞。 3. 使用硬件防火墻 許多人會(huì)考慮使用硬件防火墻，針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過對(duì)異常流量的清洗過濾，可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果業(yè)務(wù)飽受流量攻擊的困擾，可以考慮將轉(zhuǎn)移到放到DDoS硬件防火墻機(jī)房的服務(wù)器內(nèi)。但如果流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防，但攻擊流量有300G)，洪水瞞過高墻同樣抵擋不住。值得注意一下，部分硬件防火墻基于包過濾型防火墻修改為主，只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，若是DDoS攻擊上升到應(yīng)用層，防御能力就比較弱了。 4. 選用高性能設(shè)備 除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。

二、有效的抗D思想及方案

硬碰硬的防御偏于“魯莽”，通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載的流量，通過接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”，而且對(duì)抗效果良好。 1. 負(fù)載均衡 普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬個(gè)鏈接請(qǐng)求，網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對(duì)DDoS流量攻擊和CC攻擊都很見效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過載，而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁面或一個(gè)鏈接而產(chǎn)生。在企業(yè)業(yè)務(wù)加上負(fù)載均衡方案后，鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上，減少單個(gè)服務(wù)器的負(fù)擔(dān)，整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬甚至更多的服務(wù)請(qǐng)求，用戶訪問速度也會(huì)加快。 2.隱藏服務(wù)器的真實(shí)IP地址 不要把業(yè)務(wù)直連到服務(wù)器的真實(shí)IP地址，不能讓服務(wù)器真實(shí)IP泄漏，服務(wù)器前端加高防的產(chǎn)品作為中轉(zhuǎn)，如果資金充裕的話，可以購買抗D盾，用于隱藏服務(wù)器真實(shí)IP，業(yè)務(wù)IP替換為抗D盾的IP，所有前端業(yè)務(wù)ip都替換為抗D盾的節(jié)點(diǎn)IP地址。此外，服務(wù)器上如果說還部署有網(wǎng)站的話,也不能使用真實(shí)IP解析，需要域名解析到高防CDN上,再從高防CDN上回源到服務(wù)器上,起到隱藏服務(wù)器ip的效果。 3. 流量清洗 依靠部署在各地的高防節(jié)點(diǎn)，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度，相比高防硬件防火墻不可能扛下無限流量的限制，抗D盾則更加理智，多節(jié)點(diǎn)分擔(dān)滲透流量,單節(jié)點(diǎn)受影響,系統(tǒng)將自動(dòng)為用戶切換無影響節(jié)點(diǎn)使用,使用體驗(yàn)感更加

三.預(yù)防為主保安全

DDoS的發(fā)生可能永遠(yuǎn)都無法預(yù)知，而一來就兇猛如洪水決堤，因此業(yè)務(wù)對(duì)于這方面的預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要。通過日常慣性的運(yùn)維操作讓系統(tǒng)健壯穩(wěn)固，沒有漏洞可鉆，降低脆弱服務(wù)被攻陷的可能，將攻擊帶來的損失降低到最小。 1. 篩查系統(tǒng)漏洞 及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)安裝系統(tǒng)補(bǔ)丁，對(duì)重要信息(如系統(tǒng)配置信息)建立和完善備份機(jī)制，對(duì)一些特權(quán)賬號(hào)(如管理員賬號(hào))的密碼謹(jǐn)慎設(shè)置，通過一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。統(tǒng)計(jì)分析顯示，許多攻擊者在對(duì)企業(yè)的攻擊中獲得很大成功，并不是因?yàn)楣粽叩墓ぞ吆图夹g(shù)如何高級(jí)，而是因?yàn)樗麄兯舻幕A(chǔ)架構(gòu)本身就漏洞百出。 2. 系統(tǒng)資源優(yōu)化 合理優(yōu)化系統(tǒng)，避免系統(tǒng)資源的浪費(fèi)，盡可能減少計(jì)算機(jī)執(zhí)行少的進(jìn)程，更改工作模式，刪除不必要的中斷讓機(jī)器運(yùn)行更有效，優(yōu)化文件位置使數(shù)據(jù)讀寫更快，空出更多的系統(tǒng)資源供用戶支配，以及減少不必要的系統(tǒng)加載項(xiàng)及自啟動(dòng)項(xiàng)，提高服務(wù)器的負(fù)載能力。 3. 過濾不必要的服務(wù)和端口 就像防賊就要把多余的門窗關(guān)好封住一樣，為了減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會(huì)，禁止未用的服務(wù)，將開放端口的數(shù)量最小化就十分重要。端口過濾模塊通過開放或關(guān)閉一些端口，允許用戶使用或禁止使用部分服務(wù)，對(duì)數(shù)據(jù)包進(jìn)行過濾，分析端口，判斷是否為允許數(shù)據(jù)通信的端口，然后做相應(yīng)的處理。 4. 限制特定的流量 檢查訪問來源并做適當(dāng)?shù)南拗?，以防止異常、惡意的流量來襲，限制特定的流量，主動(dòng)保護(hù)業(yè)務(wù)安全。 對(duì)抗DDoS攻擊是一個(gè)涉及很多層面的問題，抗DDoS需要的不僅僅是一個(gè)防御方案，一個(gè)設(shè)備，更是一個(gè)能制動(dòng)的團(tuán)隊(duì)，一個(gè)有效的機(jī)制。面對(duì)攻擊大家需要具備安全意識(shí)，完善自身的安全防護(hù)體系才是正解。隨著互聯(lián)網(wǎng)業(yè)務(wù)的越發(fā)豐富，可以預(yù)見DDoS攻擊還會(huì)大幅度增長，攻擊手段也會(huì)越來越復(fù)雜多樣。安全是一項(xiàng)長期持續(xù)性的工作，需要時(shí)刻保持一種警覺，更需要全社會(huì)的共同努力。 5.屏蔽攻擊的路由 找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊，用戶可把這些端口屏蔽掉，以阻止入侵。不過此方法對(duì)于公司網(wǎng)絡(luò)出口只有一個(gè)，而又遭受到來自外部的DDoS攻擊時(shí)不太奏效，畢竟將出口端口封閉后，所有計(jì)算機(jī)都無法訪問internet了。 6.在路由器上濾掉ICMP 這是一種比較折中的方法，雖然在DDoS攻擊時(shí)他無法完全消除入侵，但是過濾掉ICMP后，可以有效的防止攻擊規(guī)模的升級(jí)，也可以在一定程度上降低攻擊的級(jí)別。 通過上面介紹的對(duì)于ddos攻擊的防御方式，大家應(yīng)該知道當(dāng)業(yè)務(wù)被ddos攻擊了應(yīng)該怎么辦吧。如果您需要更專業(yè)的抗DDOS服務(wù)，或者是其他攻擊防御的，可以隨時(shí)聯(lián)系

德迅云安全陳琦琦

?