域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

這幾年，聽過不少客戶關(guān)于DDoS攻擊的困惑，其中最多的就是“黑客真的有那么多資源?他們的攻擊資源從哪來的”，今天在這里做一個(gè)簡單的分析。

DDoS攻擊資源主要有四種：控制端資源、肉雞資源、反射攻擊資源、偽造流量源路由器。

1、控制端資源，指用控制大量的僵尸主機(jī)節(jié)點(diǎn)向攻擊目標(biāo)發(fā)起 DDoS 攻擊的木馬或僵尸網(wǎng)絡(luò)控制端。以2017年為例，年度利用肉雞發(fā)起 DDoS 攻擊的控制端總量為 25,532 個(gè)，絕大多數(shù)控制端來自境外，其中有10.1%來自美國，占比最高。

2、肉雞資源，指被控制端利用，向攻擊目標(biāo)發(fā)起 DDoS 攻擊的僵尸主機(jī)節(jié)點(diǎn)。利用真實(shí)肉雞地址直接攻擊(包含直接攻擊與其它攻擊的混合攻擊)的 DDoS 攻擊事件占事件總量的 80%。

3、反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施，它們提供的網(wǎng)絡(luò)服務(wù)中，如果存在某些網(wǎng)絡(luò)服務(wù)，不需要進(jìn)行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署(如 DNS 服務(wù)器，NTP 服務(wù)器等)，它們就可能成為被利用發(fā)起 DDoS 攻擊的網(wǎng)絡(luò)資源。

4、偽造流量源路由器分為跨域偽造流量源路由器和本地偽造流量源路由器?？缬騻卧炝髁吭绰酚善?，是指轉(zhuǎn)發(fā)了大量任意偽造。IP 攻擊流量的路由器。由于我國要求運(yùn)營商在接入網(wǎng)上進(jìn)行源地址驗(yàn)證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗(yàn)證配置可能存在缺陷。且該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備。本地偽造流量源路由器，是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域 IP 攻擊流量的路由器。說明該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng) DDoS 攻擊的設(shè)備。

如何防御DDoS攻擊?

(1)服務(wù)器架構(gòu)優(yōu)化。如負(fù)載均衡、分布式集群防御。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對(duì)DDoS流量攻擊和CC攻擊都很見效。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)。

(2)服務(wù)器加固。服務(wù)器防御DDoS攻擊最根本的措施就是隱藏服務(wù)器真實(shí)IP地址。當(dāng)服務(wù)器對(duì)外傳送信息時(shí)，就可能會(huì)泄露IP。例如，我們常見的使用服務(wù)器發(fā)送郵件功能就會(huì)泄露服務(wù)器的IP。所以在發(fā)送郵件時(shí)，需要通過第三方代理發(fā)送。這樣顯示出來的IP是代理IP，才不會(huì)泄露真實(shí)IP地址。

(3)選擇商用的DDoS防護(hù)服務(wù)。如果DDoS攻擊的流量特別大的話，上面的兩種方式就不能滿足游戲企業(yè)的需求。這時(shí)候就需要選擇靠譜的云安全服務(wù)商。知道創(chuàng)宇抗D保使用自主研發(fā)的祝融智能攻擊識(shí)別引擎，專注于特大流量DDoS攻擊防御服務(wù)?？笵保擁有橫跨全國的分布式數(shù)據(jù)中心，以及600G以上帶寬抗DDoS能力，并可隨時(shí)應(yīng)急調(diào)用帶寬1.5TB，總防御能力超2T。這使得我們能完全滿足游戲企業(yè)的需求。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！