最近一直在普及ddos和cc攻击
ddos攻击
什么是DDoS?
“你开了一间饭馆,我花钱雇了很多人冲进你的饭馆,占了你的餐位,纠缠你的服务员,但就是不点吃的。这样一来,真正想消费的顾客进不去,你就没有办法提供服务。”
——DDoS
cc攻击
CC攻击(Challenge Collapsar)是DDOS(分布式拒绝服务)的一种,也是一种常见的网站攻击方法,攻击者通过代理服务器或者肉鸡向向受害主机不停地发大量数据包,造成对方服务器资源耗尽,一直到宕机崩溃。
那么哪一种攻击对于服务器的伤害大呢?
ddos攻击主要是针对IP,针对IP进行发送大量报文进行攻击,导致服务器过载,一个IP的正常流量是有限的,如果被长期占用带宽过大那么就会直接导致服务器直接宕机,那么正常用户干脆直接访问不了服务器,也没有办法进行正常业务
cc攻击呢主要就是模仿真人去访问服务器的数据库,导致服务器内存直接爆炸,其实在业内来说,cc攻击比ddos还难处理一些,cc攻击有很多种攻击的方式而且多样化,导致cc防护有时候要花更多的钱去做防御,而且就算花很多的钱去防护也不一定防御的住,必须要找小蚁君来抓包定制策略。
现如今ddos的危害越来越大,很多创业者刚开始的时候可能会因为控制成本问题而不舍的接入防御,从而导致项目中支,今天小蚁君就给大家介绍几个低成本的防御方案:
1.如果只有几台计算机是攻击的来源,并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份ACL(访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间,但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的IP,那这一措施及不再有效了。
2.如果你确定攻击来自一个特定的国家,可以考虑将来自那个国家的 IP 阻断,至少要阻断一段时间.
3.监控进入的网络流量。通过这种方式可以知道谁在访问你的网络,可以监控到异常的访问者,可以在事后分析日志和来源IP。在进行大规模的攻击之前,攻击者可能会使用少量的攻击来测试你网络的健壮性。
4.对付带宽消耗型的攻击来说,最有效(也很昂贵)的解决方案是购买更多的带宽。通过DDoS硬件防火墙对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
5.也可以使用高性能的负载均衡软件,使用多台服务器,并部署在不同的数据中心。
6.对Web和其他资源使用负载均衡的同时,也使用相同的策略来保护DNS。
7.优化资源使用提高web server的负载能力。例如,使用apache可以安装apachebooster插件,该插件与varnish和nginx集成,可以应对突增的流量和内存占用。
8.使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击。可以考虑购买Cloudflare的商业解决方案,它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。如果想获得更多的服务支持(国外的安全服务一般是没有售后的,如果遇到问题只能提交工单进行解决,效率很低。),可以考虑选择国内的云安全服务商。推荐小蚁云安全、腾讯云和阿里云。
9.启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中启用该功能只要点击“配置”中的“防火墙”,找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL(access control list)来防止 IP 欺骗,先针对内网创建 ACL,然后应用到互联网的接口上。
10.使用第三方的服务来保护你的网站。有不少公司有这样的服务,提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。
11.注意服务器的安全配置,避免资源耗尽型的 DDoS 攻击。
12.听从专家的意见,针对攻击事先做好应对的应急方案。
13.监控网络和 web 的流量。如果有可能可以配置多个分析工具,例如:Statcounter 和 Google analytics,这样可以更直观了解到流量变化的模式,从中获取更多的信息。
14.保护好 DNS 避免 DNS 放大攻击。
15.在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略:流控,包过滤,半连接超时,垃圾包丢弃,来源伪造的数据包丢弃,SYN 阀值,禁用 ICMP 和 UDP 广播。
16. 分布式集群防御:这是目前网络安全界防御大规模DDoS攻击的最有效办法。分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。
17.云防御:目前,许多的企业面对大攻击时都是采用这种方式来进行防御,一方面可以通过云进行调度,另一方面操作也非常的简单,并且面对各种类型来势汹汹的DDoS攻击都能及时响应。但缺点是攻击量大时是价格会比较高,这个要看企业对DDoS攻击的衡量,是被打垮了损失的费用更大还是花钱抗D花费的费用更大。