Neustar報(bào)告顯示，2020年上半年，DDoS攻擊方式發(fā)生了重大變化。與2019年同期相比，DDoS攻擊數(shù)量增加了151％。其中包括Neustar緩解的最大型和最長(zhǎng)時(shí)間持續(xù)攻擊，分別為每秒1.17Tbps和5天18小時(shí)。
這些數(shù)字代表了隨著組織轉(zhuǎn)向遠(yuǎn)程操作和在家辦公對(duì)互聯(lián)網(wǎng)的依賴(lài)程度增加，隨之而來(lái)的是網(wǎng)絡(luò)攻擊的流量、類(lèi)型和強(qiáng)度不斷指數(shù)型增長(zhǎng)。
什么是DDOS攻擊？
DDos全名Distributed Denial of Service，翻譯成中文就是分布式拒絕服務(wù)。指的是處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，是一種分布的、協(xié)同的大規(guī)模攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，它利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷，采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。
下面給一個(gè)更加形象點(diǎn)的例子，解釋下DDoS攻擊。
我開(kāi)了一家有五十個(gè)座位的重慶火鍋店，由于用料上等，童叟無(wú)欺。平時(shí)門(mén)庭若市，生意特別紅火，而對(duì)面二狗家的火鍋店卻無(wú)人問(wèn)津。二狗為了對(duì)付我，想了一個(gè)辦法，叫了五十個(gè)人來(lái)我的火鍋店坐著卻不點(diǎn)菜，讓別的客人無(wú)法吃飯。
上面這個(gè)例子講的就是典型的 DDoS 攻擊，一般來(lái)說(shuō)是指攻擊者利用“肉 雞”對(duì)目標(biāo)網(wǎng)站在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求，大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源，讓它無(wú)法正常服務(wù)。在線游戲、互聯(lián)網(wǎng)金融等領(lǐng)域是 DDoS 攻擊的高發(fā)行業(yè)。
攻擊方式很多，比如ICMP Flood、UDP Flood、NTP Flood、SYN Flood、CC 攻擊、DNS Query Flood等等。
網(wǎng)絡(luò)攻擊事件幾乎每天都在發(fā)生，特別是DDOS攻擊相比去年呈翻倍增長(zhǎng)趨勢(shì)，所以網(wǎng)站服務(wù)器的安全性非常重要。如果安全防護(hù)工作沒(méi)有做好，極有可能被不法分子發(fā)起攻擊，對(duì)企業(yè)造成重大損失。
虛擬主機(jī)如何做好DDOS防護(hù)工作？
1、升級(jí)虛擬主機(jī)服務(wù)器硬件
最直白的解釋就是提高自己的抗打能力，對(duì)虛擬主機(jī)的硬件配置進(jìn)行升級(jí)，比如每秒10萬(wàn)個(gè)的SYN攻擊包，服務(wù)器配置至少得要P4 2.4G/DDR512M/SCSI-HD吧。內(nèi)存一定要選擇DDR的高速內(nèi)存，還有CPU，因特爾i系列適合個(gè)人PC，服務(wù)器還是選擇至強(qiáng)系列，緩存更大，穩(wěn)定性更強(qiáng)，有一些服務(wù)器專(zhuān)用的指令集，具有很大的數(shù)據(jù)吞吐量。
2、采用高性能的網(wǎng)絡(luò)設(shè)備
在選擇路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備時(shí)，一定要選擇口碑好、品牌知名度高的產(chǎn)品，像有些路由器還自帶流量限制功能，對(duì)緩解一些小流量DDOS攻擊也能起到一定的作用的。
3、盡量提高網(wǎng)絡(luò)帶寬
網(wǎng)絡(luò)帶寬直接決定了服務(wù)器的防御能力，一個(gè)10M的帶寬什么樣的安全措施也難以抵擋DDOS攻擊?，F(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境，至少也要選擇100M帶寬吧，當(dāng)然可以掛在1000M的主干線上是最好的了。需要注意的是交換機(jī)的接入帶寬，如果交換機(jī)只有支持100M帶寬，那接入1000M的主干上實(shí)際也只有100M的帶寬。
4、盡量避免NAT的使用
無(wú)論是路由器還是硬件防護(hù)墻設(shè)備一定要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力。因?yàn)镹AT需要對(duì)地址往返轉(zhuǎn)換，轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間。
5、保持系統(tǒng)更新
定期檢測(cè)服務(wù)器系統(tǒng)更新，保持也最新?tīng)顟B(tài)，可以提高服務(wù)器的安全性。因?yàn)榉?wù)器每次更新都會(huì)去修復(fù)新出現(xiàn)的漏洞和BUG,避免攻擊者利用這些來(lái)發(fā)起攻擊。
6、網(wǎng)站頁(yè)面靜態(tài)化
靜態(tài)化頁(yè)面可以大大提高抗攻擊能力，像騰訊、新浪等大型門(mén)戶網(wǎng)站都是靜態(tài)頁(yè)面。如果你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器。
7、接入專(zhuān)業(yè)防DDOS高防
當(dāng)遇到DDOS攻擊時(shí)，以上六條措施如果仍然不能解決DDOS問(wèn)題，那說(shuō)明這是一次大流量的DDOS洪水攻擊，只能接入專(zhuān)業(yè)的防DDOS高防服務(wù)。