DDoS攻击是分布式拒绝服务攻击,说得通俗易懂点,就是黑客将不计其数的计算机集中起来发号施令向被攻击站点发起请求。因为服务器都是有性能上限的,这些DDoS过来的请求本质上也是一种合理的请求(只不过短时间内的请求量过大,超出服务器的处理能力),被攻击服务器资源占满了也就使得其它合法用户无法得到服务器的响应,而且DDoS攻击种类很多。
因为DDoS的这一特点,使得DDoS的防范起来是很难的,因为大家说DDoS请求本质上也是合法的请求。而且因为某些因素使得现在发起DDoS攻击的成本很低,花很少的钱就能借助某些渠道和手段对某一目标发起攻击。DDoS攻击者的目的无非就是以下几种:
黑客的“成就感”:黑客的目的就是破坏计算机系统的稳定,同时也是为了证明自己能力的一种方式,觉得自己可以控制某个系统运行的正常与否,很有“成就感”。
不良竞争:如果两个平台是竞争对手关系,不排除有不良竞争,所以DDoS攻击也是一种手段。
说到这么多,那对于一般企业或个人,大家该如何尽可能避免被DDoS攻击呢?方案其实也有很多,以下列举一些供大家参考:
1、隐藏服务器真实IP
隐藏服务器真实IP是为了减少服务器在网络上被发现的可能,鉴于大多数攻击是没有目标性的攻击,黑客在攻击前会通过扫描的方式来发现服务器IP。如果大家在这上面做一些处理,可以减少服务器被黑客发现的可能。这里常用手段有以下几种:
使用CDN加速服务来隐藏源站服务器IP:使用CDN后,别人访问到的其实是CDN节点,这样源站IP变相被隐藏起来了。而且CDN本身就是分布式的,而且CDN厂商也都有硬防,这样极大的减少了DDoS对源站产生的风险。
禁用服务器ICMP响应:禁用ICMP响应可以防止服务器被Ping通,可以过滤掉一批小黑客。
2、关闭服务器上不少要的服务及端口
不少黑客在对网络上的计算机进行扫描时,也会通过一些特点端口进行扫描,比如扫描3389端口、22端口等。端口就相当于是你家的窗户,窗户太多,控制起来就难,难免有小偷从某个窗口进去了。
3、限制SYN半连接数目
大家通过技术手段缩短SYN半连接的timeout超时时间,限制SYN/ICMP流量也是一种常用手段。
4、DNS智能解析
DNS解析也容易被人忽略,但要知道很多的攻击也是针对DNS的,如果DNS受到攻击,网站解析就无法正常进行,影响业务访问。
5、IP过滤
如果DDoS流量集中的来自于某一国家,大家可以将此国家的IP段封禁。
6、负载均衡及缓存的合理使用
大家说DDoS攻击请求也是正常合法请求,只不过请求的量超过了服务器的服务能力,那大家可以提升服务器的处理能力,负载均衡和缓存的合理使用就可以做到,集群的响应能力比单一服务器的响应能力要好得多。
7、高防IP和硬防部署
主防IP和硬防部署对于一般中小型企业而言,价格上很贵,所以用得少。但如果真的是核心业务受到了DDoS攻击,而且持续时间很长,可以考虑联系机房临时加上高防IP和硬防,单独付费即可。
对于已经“上云”的客户,可以动态升级带宽。
8、域名解析至127.0.0.1
大家都知道,127.0.0.1代表的是客户端本地的IP,如果别人访问一个域名,而这域名解析的IP是127.0.0.1,那它访问的是它自己的本机。
所以说如果DDoS攻击来袭时,大家把域名解析至127.0.0.1,那是不是以其人之道,还治其人之身啦?
以上就是偶的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流~偶是科技领域创作者,十年互联网从业经验,偶了解更多科技知识!