ddos攻击解决方案_ddos攻击腾讯事件

hacker|
161

服务器持续被ddos攻击是什么原因?

一、CC攻击:CC攻击的原理便是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽,一直到宕机溃散。CC主要是用来攻击页面的,每个人都有这样的体会:当一个网页拜访的人数特别多的时分,翻开网页就慢了,CC便是模仿多个用户(多少线程便是多少用户)不停地进行拜访那些需求许多数据操作(便是需求许多CPU时间)的页面,形成服务器资源的糟蹋,CPU长期处于100%,永远都有处理不完的衔接直至就 *** 拥塞,正常的拜访被间断。

二、DDOS攻击:近几年由于宽带的遍及,许多网站开始盈余,其间许多不合法网站利润巨大,形成同行之间互相攻击,还有一部分人使用 *** 攻击来敲诈钱财。同时windows 渠道的漏洞许多的被公布,流氓软件,病毒,木马许多充满着 *** ,有些技能的人可以很简单不合法侵略控制许多的个人计算机来发起DDOS攻击从中投机。攻击已经成为互联网上的一种直接的竞赛方式,并且收入十分高,利益的驱使下,攻击已经演变成十分完善的产业链。经过在大流量网站的网页里注入病毒木马,木马可以经过windows渠道的漏洞感染阅读网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门搜集肉鸡然后以几毛到几块的一只的价格出售,由于利益需求攻击的人就会购买,然后遥控这些肉鸡攻击服务器。一般在硬防上直接就down掉了,不或许给他攻击的余地。虽然黑客攻击的 *** 多种多样,但就现在来说,绝大多数中初级黑客们所选用的 *** 和东西仍具有许多共性。

三、长途衔接不上:有或许是3389攻击,这个比较好处理,原因有许多,长途衔接那框没勾上都有或许

四、80端口攻击:这个是让WEB管理员头痛的,现在只需拔掉网线,等一段时间期望攻击没了就OK了,期望能得到更好的处理办法。

五、arp攻击:ARP攻击便是经过伪造IP地址和MAC地址完成ARP诈骗,可以在 *** 中发生许多的ARP通讯量使 *** 阻塞,攻击者只需持续不断的宣布伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,形成 *** 中断或中间人攻击。

ARP攻击主要是存在于局域网 *** 中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的体系将会试图经过“ARP诈骗”手法截获所在 *** 内其它计算机的通讯信息,并因此形成网内其它计算机的通讯毛病。(壹基比小喻)

为什么游戏会是DDoS攻击重灾区?

为什么游戏会是DDoS攻击的重灾区呢?这里说几点主要的原因。

首先是因为游戏行业的攻击成本低廉,是防护成本的1/N,攻防两端极度不平衡。随着攻击方的打法越来越复杂、攻击点越来越多,基本的静态防护策略无法达到较好的效果,也就加剧了这种不平衡。

其次,游戏行业生命周期短。一款游戏从出生,到消亡,很多都是半年的时间,如果抗不过一次大的攻击,很可能就死在半路上。黑客也是瞄中了这一点,认定:只要发起攻击,游戏公司一定会给“保护费”。

再次,游戏行业对连续性的要求很高,需要7*24在线,因此如果受到DDoS攻击,游戏业务很容易会造成大量的玩家流失。我曾经见过在被攻击的2-3天后,游戏公司的玩家数量,从几万人掉到几百人。

最后,游戏公司之间的恶性竞争,也加剧了针对行业的DDoS攻击。锐速云你身边的 *** 安全防御专家

服务器为什么被ddos攻击?怎么解决攻击?

有可能是竞争对手整的,我们公司网站排名做的好,也被ddos攻击了;Ddos攻击一种为流量攻击,另一种为资源耗尽攻击,主要是针对服务器主机的攻击;注意一定要做好防御措施,及时关注所使用的安全产品和 *** 设备,在系统中加装防火墙系统,还要优化路由及 *** 结构。

如果已经被攻击了的话,要么是出钱买高防,要么只能等它停止攻击,然后将数据分散放到不同的服务器上,但还是得给服务器做好预防。

今天的腾讯怎么了?

2015年8月6日下午19点42分起,腾讯的上千台服务器全部受到来自世界各地巨大流量的黑客攻击。这一震惊全国的事件是由搜狗与腾讯输入法一案引起的,随着搜狗与腾讯输入法一案进入白日化阶段。 2009年6月25日下午17点47分,搜狗发动了历史以来更大黑客攻击,到18点16分,攻击还在持续,腾讯所有的服务器全部瘫痪,所有的腾讯产品均无法使用。 据TX内部得到的消息!TX确实正被攻击中,据他所诉黑客团伙利用改写后端服务器,让服务器接收大量无壳数据。倒致服务器高速运转超出所受范围。 这位TX内部人员诉说, 果真服务器被攻破,让DNF内部源程序代码泄露会造成不可挽回的局面。就像传奇私服那样, 全球瀿泛滥!由于TX为 *** 商。那么他也将面临HG的怒火与其法院的制裁!2015年7月22日夜间,腾讯云机房遭遇了黑客持续、大流量的DDOS恶意攻击,攻击峰值接近300G,创下腾讯业务遭受外部攻击历史上的更高记录。腾讯云自动开启自研的安全防护体系——大禹分布式防御系统(下简称大禹系统),通过动态调度 *** 流量,有效组织全网各点冗余带宽和防护能力,为业务保驾护航。攻击全过程中,没有任何业务出现服务异常,腾讯云超强的安全防护能力再次经受住考验。腾讯云大禹系统守护,用户毫发无损当晚,腾讯云安全团队监测到机房受到外部黑客多次、恶意、超大流量DDoS攻击,发现告警后,腾讯云自研的一整套分布式防护方案即大禹系统,自动开启防护模式。大禹系统在全国多个城市部署了独立攻击防护点,每个节点部署有腾讯自研、拥有百G级机房防护能力的宙斯盾系统,所有机房带宽总和达到数T。通过高效动态调度 *** 流量,有效组织起腾讯云全网各点冗余带宽和防护能力,大禹系统能够为自身机房以及外部开发者保驾护航。因大禹系统的守护,上述有组织、有预谋的大规模DDoS恶意攻击并没有对腾讯云机房以及腾讯云用户造成任何实质性伤害。腾讯云自建大禹系统卓越的安全防御能力以及腾讯在长期守卫海量用户安全实战中沉淀的宝贵经验再次经受住考验,并获得业界的一致首肯。 *** 安全事件频发,DDoS攻击多为幕后黑手提到DDoS攻击,最近两个月之内发生的大规模互联网黑灯事件还在令众多互联网从业者心有余悸。同样是22日,国内知名云服务机房故障,殃及多家主流网站及客户端。有媒体报道此次故障原因为该云服务商IDC机房遭遇黑客大流量DDoS攻击。后来该云服务商发表声明故障原因为交换机需要更换,不过此事引发的关于 *** 安全的讨论却没有停止。据《2015年之一季度互联网发展状况安全报告》显示,中国目前是DDoS攻击重灾区,与2014年同期相比,攻击数量翻倍,共发生8次大规模攻击,达到历史新高,比上一季度环比增加35%以上。攻击特点力度较小但持续时间更长,最长时长超过24小时。 o(︶︿︶)o 唉 一群吃瓜观众。

那些年,DDoS的那些反击渗透的事情。

DDoS攻击与对策

DDo(Distributed Denial of Service),即分布式拒绝服务攻击,是指黑客通过控制由多个肉鸡或服务器组成的僵尸 *** ,向目标发送大量看似合法的请求,从而占用大量 *** 资源使 *** 瘫痪,阻止用户对 *** 资源的正常访问。

从各安全厂商的DDoS分析报告不难看出,DDoS攻击的规模及趋势正在成倍增长。由于攻击的成本不断降低,技术门槛要求越来越低,攻击工具的肆意传播,互联网上随处可见成群的肉鸡,使发动一起DDoS攻击变得轻而易举。

DDoS攻击技术包括:常见的流量直接攻击(如SYN/ACK/ICMP/UDP FLOOD),利用特定应用或协议进行反射型的流量攻击(如,NTP/DNS/SSDP反射攻击,2018年2月28日GitHub所遭受的Memcached反射攻击),基于应用的CC、慢速HTTP等。关于这些攻击技术的原理及利用工具网上有大量的资源,不再赘述。

1.1 DDoS防御常规套路

防御DDoS的常规套路包括:本地设备清洗,运营商清洗,云清洗。

1.本地设备清洗

抗DDoS设备(业内习惯称ADS设备)一般以盒子的形式部署在 *** 出口处,可串联也可旁路部署。旁路部署需要在发生攻击时进行流量牵引,其基本部署方案如图18-1所示。

图18-1 ADS 设备部署方式

图18-1中的检测设备对镜像过来的流量进行分析,检测到DDoS攻击后通知清洗设备,清洗设备通过BGP或OSPF协议将发往被攻击目标主机的流量牵引到清洗设备,然后将清洗后的干净流量通过策略路由或者MPLS LSP等方式回注到 *** 中;当检测设备检测到DDoS攻击停止后,会通知清洗设备停止流量牵引。

将ADS设备部署在本地,企业用户可依靠设备内置的一些防御算法和模型有效抵挡一些小规模的常见流量攻击,同时结合盒子提供的可定制化策略和服务,方便有一定经验的企业用户对攻击报文进行分析,定制针对性的防御策略。目前国内市场上,主要以绿盟的黑洞为代表,具体可以访问其官网进一步了解。

本地清洗更大的问题是当DDoS攻击流量超出企业出口带宽时,即使ADS设备处理性能够,也无法解决这个问题。一般金融证券等企业用户的出口带宽可能在几百兆到几G,如果遇到十G以上甚至上百G的流量,就真的麻烦了,更别谈T级别的DDoS攻击了。

 2.运营商清洗

当本地设备清洗解决不了流量超过出口带宽的问题时,往往需要借助运营商的能力了,紧急扩容或者开启清洗服务是一般做法,前提是要采购相应的清洗服务,而且一般需要通过 *** 或邮件确认,有的可能还要求传真。

运营商的清洗服务基本是根据netflow抽样检测 *** 是否存在DDoS攻击,而且策略的颗粒度较粗,因此针对低流量特征的DDoS攻击类型检测效果往往不够理想。再加上一些流程上的操作如 *** 、邮件、传真等,真正攻击到来时处理可能会更慢,需要重点关注。

值得一提的是中国电信的云堤服务,提供了“流量压制”和“近源清洗”服务,而且还提供了自助平台供用户操作,查看流量、开启清洗也非常方便。

 3.云清洗

内容分发 *** (Content Delivery Network,CDN)是指,通过在 *** 各处放置节点服务器,让用户能够在离自己最近的地方访问服务,以此来提高访问速度和服务质量。CDN主要利用了四大关键技术:内容路由,内容分发,内存存储,内容管理。更详细的技术原理可以参考中国电信研究院出版的《CDN技术详解》。

CDN技术的初衷是为了提高互联网用户对静态网站的访问速度,但是由于分布式、就近访问的特点,能对攻击流量进行稀释,因此,一些传统CDN厂商除了提供云加速功能外,也开始推出云清洗的服务,当然还有一些安全公司基于其自身优势进入云清洗市场。基本原理都一样,需要先在云端配置好相应的记录,当企业遭受大规模攻击时,通过修改其DNS记录将要保护的域名CNAME到云端事先配好的记录上,等待DNS生效即可。

使用云清洗需要注意以下几个问题:

1. -·云清洗厂商需要提前配置好相应记录。 ·DNS修改记录后,需要等待TTL超时才生效。 

2.  ·直接针对源IP的攻击,无法使用云清洗防护,还要依靠本地和运营商清冼。 

3. ·针对HTTPS网站的防御,还涉及HTTPS证书,由此带来的数据安全风险需要考虑,市面上也有相应的Keyless方案{n1}。

由于国内环境不支持Anycast技术,所以不再赘述,如果有海外分支机构的网站需要防护,可以关注。

{nt1|其细节可以参考cloudflare公司博客上的文章,链接:[]()。

一些经验

结合笔者的一些经验,对DDoS防护落地做一些补充,仅供参考。

1.自动化平台

金融企业由于高可用要求,往往会有多个数据中心,一个数据中心还会接入多家运营商线路,通过广域网负载均衡系统对用户的访问进行调度,使之访问到最近更优的资源。当任何一条接入线路存在DDoS攻击时,能通过广域网负载均衡系统将该线路上的访问需求转移至其他互联网线路。在针对IP地址开展的DDoS攻击中,此方案能够有效保障正常客户的访问不受影响,为了实现快速切换,需要通过自动化运维平台来实现,如图18-2所示。

图18-2

线路调整一键应急配合必要的应知应会学习和应急演练,使团队成员都能快速掌握 *** ,在事件发生之一时间进行切换,将影响降到最小。接下来才是通知运营商进行清洗处理,等待流量恢复正常后再进行回切。

当某一个业务的IP受到攻击时,可以针对性地处置,比如一键停用,让正常用户访问其他IP;也可以一键开启清洗服务。

 2.设备抗D能力

除了ADS设备外,还有一些设备也需要关注抗DDoS能力,包括防火墙、负载均衡设备等。

出于安全可控需求,金融企业往往会采用异构模式部署防火墙,比如最外层用产品A,里面可能会用产品B。假如产品A的抗DDoS能力差,在发生攻击时,可能还没等到ADS设备清洗,产品A已经出问题了,比如发生了HA切换或者无法再处理新的连接等。

在产品选型测试时,需要关注这方面的能力,结合笔者所在团队经验,有以下几点供参考:

1. ·某些产品在开启日志记录模块后会存在极严重的性能消耗,在可能存在攻击的环境内建议关闭。

2. ·尽管理论和实际会有偏差,但根据实际测试情况,还是建议当存在大量TCP、UDP新建连接时,防火墙的更大连接数越大越好

3. 多测试多对比,从对比中可以发现更优的方案,通过适当的调整优化引入更优方案。

4. ·监控防火墙CPU和连接数,当超过一定值时开始着手优化规则,将访问量多的规则前移、减少规则数目等都是手段。

负载均衡设备也需要关注以上问题,此外,负载均衡由于承接了应用访问请求分发调度,可以一定程度上针对性地防护基于IP速率、基于URL速率的DDoS攻击以及慢速攻击等。图18-3所示为F5的A *** 的DDoS防护策略。

图18-3

负载均衡设备A *** 防DDoS功能

请求经过防火墙和负载均衡,最后到了目标机器上处理的时候,也需要关注。系统的性能调优设置、Nginx的性能参数调整以及限制连接模块配置等,都是在实际工作中会涉及的。

3.应急演练

部署好产品,开发好自动化运维平台,还要配合必要的应知应会、应急演练才行。因为金融行业的特殊性,DDoS攻击发生的次数相比互联网行业还是少很多的,有的企业可能几年也碰不到一次。时间久了技能就生疏了,真正需要用到时,可能连登录设备的账号口令都忘了,又或者需要现场接线的连设备都找不到,那就太糟糕了。

此外,采购的外围的监控服务、运营商和云清洗产品的服务能力也需要通过演练来检验有效性。签订合同时承诺的秒级发现、分钟级响应是否经得起考验,要先在心里打上一个问号。建议在不事先通知的情况下进行演练,观察这中间的问题并做好记录,待演练完成后一并提交给服务商要求整改。这样的演练每年要不定期组织几次。

0条大神的评论

发表评论