一、什麼是DDoS攻擊
DoS:是Denial of Service的簡稱,即拒絕服務,不是DOS作業系統,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。
DDOS:分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
事實上DDoS攻擊的方式有很多種,比如常見的:
1.SYN FLOOD
伺服器端標有SYN標誌的TCP連接請求,SYN利用伺服器的連接緩衝區、特殊程序,更改TCP的header文件。SYN請求過多,伺服器被佔滿,無法響應正常請求。
2.IP欺騙
利用RST實現。攻擊者偽裝自己的IP位址,與合法用戶地址一樣,用戶收到不正常的請求,會判定正常用戶的連接有錯誤,會清空緩衝區中已有的連接。如果合法用戶再用以前的地址,無法直接從緩衝區調去,需要重新建立。
3.寬帶DOS攻擊
算是初級的攻擊,帶寬充足,伺服器不大的話,攻擊者會發送請求,消耗伺服器的緩衝區和帶寬。
4.自身消耗的DOS攻擊
最老的攻擊方式。這種系統本身就有BUG。實施DOS攻擊的手段最主要的就是構造需要的TCP數據,充分利用TCP協議。這些攻擊方法都是建立在TCP基礎上的。
5.塞滿伺服器的硬碟
向匿名FTP塞垃圾文件,會塞滿硬碟空間。
DDoS攻擊會造成嚴重危害:
企業用戶無法正常訪問,會造成巨大經濟損失。
競爭對手會利用這一惡性競爭,導致業務競爭失敗。
二、DDoS攻擊案例
背景:企業內遭受多次DDoS攻擊,攻擊流量從最初的不到10Gbps,到最後的高達300G。
業務域名:wangdun.cn
域名解析的IP:主1.1.1.1 備份 CLB1.1.1.2
第一波DDoS攻擊屬於試探性,看是否接入網盾高防IP。攻擊流量8Gbpg。假設攻擊目標IP:1.1.1.1,業務結構圖:
由於攻擊沒有超過設定防護流量,所以本地攻擊流量沒有造成任何影響,也沒有引起企業的注意。
第二波DDoS攻擊流量已經增加到40Gbps,由於本地攻擊超過設定防禦值,IP直接被打入「小黑屋」。
雖然主IP無法提供服務,但可以快速切換到備份IP:1.1.1.2.
針對上述情況有兩種解決方案:
將重要的業務接入網盾高防IP,後續所有的攻擊由網盾高防IP來應對;
將重要業務綁定到網盾高防IP,後續所有請求都會經過網盾高防IP清洗才會發送給用戶。
最終該企業選擇了加大防禦來保護網絡。
第三波DDoS攻擊增加到180Gbps,因為有高防IP在,所以本次攻擊沒有影響。
雖然本次防禦成功,但還要考慮後續可能還會有攻擊。可以選擇兜底方案通過 cname 自動切換解析指向三網 IP(分別是電信、聯通、移動的公網 IP)來恢復業務。
就算網盾高防IP被封禁,恢復時間都是秒級的。運維人員也都隨時在電腦前,無需擔心業務無法運行。
試探的攻擊,總會有大的攻擊,但只要有盾盾在,可以控制損失。
安全防護是需要付出成本的,企業可以根據自身情況選購,網盾高防伺服器、網盾高防IP、網盾雲WAF可以。