一、什么是DDoS攻击
DoS:是Denial of Service的简称,即拒绝服务,不是DOS操作系统,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
DDOS:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
事实上DDoS攻击的方式有很多种,比如常见的:
1.SYN FLOOD
服务器端标有SYN标志的TCP连接请求,SYN利用服务器的连接缓冲区、特殊程序,更改TCP的header文件。SYN请求过多,服务器被占满,无法响应正常请求。
2.IP欺骗
利用RST实现。攻击者伪装自己的IP地址,与合法用户地址一样,用户收到不正常的请求,会判定正常用户的连接有错误,会清空缓冲区中已有的连接。如果合法用户再用以前的地址,无法直接从缓冲区调去,需要重新建立。
3.宽带DOS攻击
算是初级的攻击,带宽充足,服务器不大的话,攻击者会发送请求,消耗服务器的缓冲区和带宽。
4.自身消耗的DOS攻击
最老的攻击方式。这种系统本身就有BUG。实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。
5.塞满服务器的硬盘
向匿名FTP塞垃圾文件,会塞满硬盘空间。
DDoS攻击会造成严重危害:
企业用户无法正常访问,会造成巨大经济损失。
竞争对手会利用这一恶性竞争,导致业务竞争失败。
二、DDoS攻击案例
背景:企业内遭受多次DDoS攻击,攻击流量从最初的不到10Gbps,到最后的高达300G。
业务域名:wangdun.cn
域名解析的IP:主1.1.1.1 备份 CLB1.1.1.2
第一波DDoS攻击属于试探性,看是否接入网盾高防IP。攻击流量8Gbpg。假设攻击目标IP:1.1.1.1,业务结构图:
由于攻击没有超过设定防护流量,所以本地攻击流量没有造成任何影响,也没有引起企业的注意。
第二波DDoS攻击流量已经增加到40Gbps,由于本地攻击超过设定防御值,IP直接被打入“小黑屋”。
虽然主IP无法提供服务,但可以快速切换到备份IP:1.1.1.2.
针对上述情况有两种解决方案:
将重要的业务接入网盾高防IP,后续所有的攻击由网盾高防IP来应对;
将重要业务绑定到网盾高防IP,后续所有请求都会经过网盾高防IP清洗才会发送给用户。
最终该企业选择了加大防御来保护网络。
第三波DDoS攻击增加到180Gbps,因为有高防IP在,所以本次攻击没有影响。
虽然本次防御成功,但还要考虑后续可能还会有攻击。可以选择兜底方案通过 cname 自动切换解析指向三网 IP(分别是电信、联通、移动的公网 IP)来恢复业务。
就算网盾高防IP被封禁,恢复时间都是秒级的。运维人员也都随时在电脑前,无需担心业务无法运行。
试探的攻击,总会有大的攻击,但只要有盾盾在,可以控制损失。
安全防护是需要付出成本的,企业可以根据自身情况选购,网盾高防服务器、网盾高防IP、网盾云WAF可以。
领取专属 10元无门槛券
私享最新 技术干货