DDoS攻擊可能帶來的危害,如何避免DDoS?
      
                                    
                                
      
                                
      
                                    
      

      DDoS(分布式拒絕服務)攻擊是當今最常見的網絡攻擊形式之一。它們的規模已經超過每秒 1 太比特,Arbor Networks每天觀察到超過 2000 次此類攻擊。那么,你應該關心嗎?一定!保護您的網絡以保持平靜并確保為您的客戶提供不間斷的服務非常重要。
      

      DDoS攻擊可能帶來的危害,如何避免DDoS?-南華中天
      

      可能的危害
      

      DDoS 攻擊通過使用來自大量受感染機器的虛假流量來擾亂目標計算機系統的常規任務。舉個簡單的例子,如果您的電子商務網站受到 DDoS 攻擊,您的客戶將無法下新訂單。如果它是呼叫中心,您的客戶將無法撥打或接聽電話。如果它是預訂引擎,您的客戶將無法進行新的預訂。換句話說,您的服務被拒絕了。盡管如此,這些服務中斷是否會對您的系統產生持久影響并損害您的客戶群?讓我們試著逐點回答這個問題。
      

        

      • 服務中斷。首先,DDoS 攻擊拒絕訪問您的網站或服務。攻擊者濫用受感染或配置錯誤的機器網絡——服務器、路由器甚至個人電腦——為單個系統生成大量虛假流量,使其暫時不可用。
        • 

      • 成本較高。大多數托管和云提供商向客戶收取額外帶寬或計算能力的費用。當您受到 DDoS 攻擊時,如果啟用了自動擴展,您的入口流量會猛增,您的基礎設施可能會開始非常迅速地擴展。當您收到下一份賬單時,您可能會感到驚訝,因為本月互聯網流量和計算資源費用已經暴增。不要忘記檢查您的提供商的帶寬政策以避免此類賬單。
        • 

      • 數據丟失。由于數據庫和系統不堪重負,未保存的工作可能不會被存儲或緩存。對于處理關鍵任務工作負載或運行某些數據一致性至關重要的在線事務處理應用程序的企業來說,這可能是一個嚴重的問題。
        • 

      • 混雜的原木。您的真實服務器日志將與數以千計的攻擊日志混合在一起,因此很難過濾和檢查是否一切正常。或者,您可能已經設置了 if-then 規則并使您的系統自我反應。在這種情況下,混合日志可能會對您的系統造成真正的損害,從而給您帶來很大的傷害。
        • 

      • 分心。DDoS 可用作分散注意力的技術。當您忙于過濾流量時,小型破壞性攻擊會同時執行。幾個月前,這種攻擊發生在Electrum比特幣錢包,據說它是世界上最安全的冷錢包。來自超過 150,000 臺受感染主機的巨大 DDoS 攻擊已經在 Electrum 網絡上發起,中斷了所有客戶交易。與此同時,網絡釣魚攻擊迫使向客戶彈出惡意消息,要求他們更新軟件。人們隨后錯誤地安裝了惡意軟件,這立即將他們所有的積蓄指向了詐騙者的錢包。
        • 

      

      DDoS攻擊可能帶來的危害,如何避免DDoS?-南華中天
      

      如何避免 DDoS?
      

      隨著 DDoS 攻擊的數量和頻率不斷增加,我們應該防止它們對您的項目造成傷害。您應該提前計劃以保護您的網絡并將此類入侵的影響降至最低。那么如何防止ddos攻擊呢?
      

        

      • 選擇提供 DDoS 保護的云提供商。大多數托管和云提供商提供針對最流行的 DDOS 攻擊(例如 UDP、NTP、SSDP、CharGen、DNS)的基本保護。但是,這不會使您 100% 防彈。一些提供商還提供高級安全措施,例如DDoS 清理保護,為您提供基于機器學習算法的定制實時保護。人工智能模型需要時間來學習和識別惡意流量,但一段時間后,這種保護應該可以過濾并阻止高達 100% 的傳入 DDoS 攻擊。
        • 

      • 構建冗余基礎設施。使用良好的負載平衡系統將您的項目分散到多個數據中心以分配流量。當您選擇不同國家的數據中心或至少使用不同的 Internet 服務提供商時,這種方法效果最好。
        • 

      • 手動防御。如果您在受到攻擊時可以訪問您的服務器,請調整以下網絡配置規則以保護您的系統:

          

        • 限制您的路由器速率以防止您的 Web 服務器不堪重負;
          • 

        • 添加過濾器以告訴您的路由器丟棄來自明顯攻擊源的數據包;
          • 

        • 更積極地超時半開連接;
          • 

        • 丟棄欺騙性或畸形的包裹;
          • 

        • 設置較低的 SYN、ICMP 和 UDP 洪水丟棄閾值;
          • 

        

        • 

      • 保持新鮮。始終將您的軟件更新到最新版本。它不僅可以保護您免受錯誤和漏洞利用,還可以幫助您避免 DDoS 攻擊。例如,一些較舊的軟件允許無限制的 ping-back,但沒有設置限制的選項。
        • 

      • 查看您的 DNS 區域。我們通常會忘記簡單的事情。確保您沒有運行過時軟件的測試域或廢棄子域。查看是否有錯誤添加的A記錄。審核您的 DNS 區域、CNAME 和 MX 記錄,以確保一切都按照您的預期進行了設置。
        • 

      • 隱藏您的 BIND 版本。黑客通常通過運行針對特定版本網絡軟件的腳本來找到他們的目標。攻擊者可以通過運行如下簡單查詢輕松獲取您的 DNS 服務器版本:dig @ns1.server.com -c CH -t txt version.bind您可以通過編輯/ets/named.conf文件隱藏您的 BIND 版本。找到options配置塊并更改version "BIND";為您選擇的單詞。例如version "Unknown";保存文件并重新啟動 BIND 以應用更改。
        • 

      • 禁用 DNS 遞歸。DNS 緩存中毒是最常見的 DNS 攻擊之一。當在中間發起欺騙攻擊時會發生這種情況,將信息提供給未經 DNS 來源授權的 DNS 服務器。這種漏洞允許流量從一臺主機重定向到另一臺主機。不過,您可以輕松避免這種情況。要禁用 DNS 遞歸,請在文件內的options配置塊中添加以下行named.conf:

        allow-transfer {“none”;};
allow-recursion {“none”;};
recursion no;

        

        重新啟動 BIND 以應用更改。
        • 

      • 使用第 3 方 DDoS 緩解提供商。如果您遇到大量攻擊而無法自行應對,則應尋求 DDoS 防護專家的幫助。Cloudflare、Imperva和CloudLayar等多家知名提供商以低價提供基本的 DDoS 保護包。如果您遇到了嚴重的麻煩,請致電他們的支持并要求進行系統審核以發現任何其他漏洞。請記住,雖然基本套餐幾乎不花錢,但高級 DDoS 保護并不便宜。
        • 

      

      DDoS攻擊可能帶來的危害,如何避免DDoS?-南華中天
      

      結論
      

      隨著越來越多的方法可用于在 Internet 上查找易受攻擊的系統,黑客們每天都在進步。盡管如此,現在有很多方法可以保護您的業務并避免任何 DDoS 攻擊。不要猶豫,提前采取預防措施,晚上就會睡個好覺。