本文開(kāi)始之前,小編把小編的經(jīng)驗(yàn)告訴大家
如果是公司或者托管到其他機(jī)房的網(wǎng)站,不需要自己假設(shè)。,只需要租用或者托管有防火墻的機(jī)房即可,如果沒(méi)有怎么辦?
那么就利用市場(chǎng)上領(lǐng)先的CDN吧,用了CDN,幾十個(gè)IP,不可能各個(gè)打死吧,在說(shuō)一般CDN商都會(huì)把節(jié)點(diǎn)放在抗攻擊的機(jī)房里面。
這個(gè)是目前最省錢的方式。
而且市場(chǎng)上有免費(fèi)的CDN防火墻。
1:上海云盾。
2:百度云加速。
3:360網(wǎng)站安全衛(wèi)士
DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊,DDOS 最早可追溯到1996年最初,在中國(guó)2002年開(kāi)始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模。
分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在Internet上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。[1]
DDoS攻擊通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源,以達(dá)到服務(wù)器癱瘓網(wǎng)絡(luò)的目的,通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊;令瓦還可以向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷;或阻斷某一用戶訪問(wèn)服務(wù)器;甚至阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊,達(dá)到破壞的作用。
通俗的說(shuō),DDoS攻擊就指向一臺(tái)性能與網(wǎng)絡(luò)寬帶有限的服務(wù)器短期發(fā)動(dòng)大量的訪問(wèn)請(qǐng)求,直到服務(wù)器或者寬帶承受極限,從而導(dǎo)致后期服務(wù)器無(wú)法正常運(yùn)行的目的。
硬件防火墻品牌排名:
Juniper
華為賽門鐵克
思科
H3C
天融信
山石網(wǎng)科
飛塔
聯(lián)想網(wǎng)御
NETGEAR
啟明星辰
熱門防火墻排名:
Juniper SSG-140-SH
華為賽門鐵克USG2210
CISCO ASA5510-K8
H3C SecPath U200-CS-AC
天融信NGFW4000-UF(TG-5130)
Hillstone SG-6000-M2105
FORTINET FortiGate-110C
NETGEAR FVS318
聯(lián)想網(wǎng)御Power V-220UTM
啟明星辰USG-FW-810C
Dosnipe防火墻:
Dosnipe防火墻硬件架構(gòu)部分主體采取工業(yè)計(jì)算機(jī)(工控機(jī)),可以承受惡劣的運(yùn)行環(huán)境,保障設(shè)備穩(wěn)定運(yùn)行;軟件平臺(tái)是FreeBSD,核心部分算法是自主研發(fā)的單向一次性非法數(shù)據(jù)包識(shí)別方法,所有的Filter機(jī)制都是在掛在驅(qū)動(dòng)級(jí)。可以徹底解決所有dos/DDoS攻擊(synflood、ackflood、udpflood、icmpflood、igmpflood、arpflood、全連接等),針對(duì)CC攻擊,已推出DosNipe V8.0版本,此核心極其高效安全,在以往抵御一切拒絕服務(wù)攻擊的基礎(chǔ)上,新增加了抵擋CC攻擊,新算法可以高效的抵御所有CC攻擊及其變種,識(shí)別準(zhǔn)確率為100%,沒(méi)有任何誤判的可能性。
Dosnipe防火墻去年升級(jí)之后,具備更多的新特性:
·徹底解決最新的M2攻擊。
·支持多線路,多路由接入功能。
·支持流量控制功能。
·更強(qiáng)大的過(guò)濾功能。
·最新升級(jí),徹底高效的解決所有DDoS攻擊,cc攻擊的識(shí)別率為100%
黑洞抗DDOS防火墻
黑洞抗DDOS防火墻是國(guó)內(nèi)IDC中應(yīng)用比較廣泛的一款抗DoS、DDoS攻擊產(chǎn)品,其技術(shù)比較成熟,而且防護(hù)效果顯著,已經(jīng)得到各大IDC機(jī)構(gòu)的共同認(rèn)可。黑洞目前分百兆、千兆兩款產(chǎn)品,分別可以在相應(yīng)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)對(duì)高強(qiáng)度攻擊的有效防護(hù),性能遠(yuǎn)遠(yuǎn)超過(guò)同類防護(hù)產(chǎn)品。千兆黑洞主要用于保護(hù)骨干線路上的網(wǎng)絡(luò)設(shè)備如防火墻、路由器,百兆黑洞主要用于保護(hù)子網(wǎng)和服務(wù)器,使用多種算法識(shí)別攻擊和正常流量,能在高攻擊流量環(huán)境下保證95%以上的連接保持率和95%以上的新連接發(fā)起成功率,核心算法由匯編實(shí)現(xiàn),針對(duì)Intel IA32體系結(jié)構(gòu)進(jìn)行了指令集優(yōu)化。對(duì)標(biāo)準(zhǔn)TCP狀態(tài)進(jìn)行了精簡(jiǎn)和優(yōu)化,效率遠(yuǎn)高于目前流行的SYN Cookie和Random Drop等算法。
黑洞所帶來(lái)的防護(hù):
·自身安全:無(wú)IP地址,網(wǎng)絡(luò)隱身。
·能夠?qū)YN Flood、UDP Flood、ICMP Flood和(M)Stream Flood等各類DoS攻擊進(jìn)行防護(hù)。
·可以有效防止連接耗盡,主動(dòng)清除服務(wù)器上的殘余連接,提高網(wǎng)絡(luò)服務(wù)的品質(zhì)、抑制網(wǎng)絡(luò)蠕蟲(chóng)擴(kuò)散。
·可以防護(hù)DNS Query Flood,保護(hù)DNS服務(wù)器正常運(yùn)行。
·可以給各種端口掃描軟件反饋迷惑性信息,因此也可以對(duì)其它類型的攻擊起到防護(hù)作用。
金盾抗DDOS防火墻
金盾抗DDOS防火墻由合肥中新軟件有限公司開(kāi)發(fā),是一款針對(duì)ISP接入商、IDC服務(wù)商開(kāi)發(fā)的專業(yè)性比較強(qiáng)的專業(yè)防火墻。適用于Internet平臺(tái)所有企業(yè)與個(gè)人用戶,尤其對(duì)一些大型的娛樂(lè)站點(diǎn)和重要企業(yè)站點(diǎn)的網(wǎng)絡(luò)流暢起到了重要的安全保護(hù)作用。
產(chǎn)品目前采用了最底層驅(qū)動(dòng)技術(shù),提供完善的面向連接操作。公司在長(zhǎng)期ISP運(yùn)營(yíng)和致力于網(wǎng)絡(luò)安全的研究過(guò)程中,研究和發(fā)明了一種防御和抵抗拒絕服務(wù)攻擊的解決辦法。測(cè)試的效果表明,目前的防御算法對(duì)所有已知的拒絕服務(wù)攻擊是免疫的,也就是說(shuō),是完全可以抵抗已知DoS/DDoS攻擊的。
金盾抗DDOS防火墻可以抵御多種拒絕服務(wù)攻擊及其變種,可防各類 DoS/DDoS攻擊,如 SYN Flood、TCP Flood,UDP Flood,ICMP Flood及其各種變種如Land,Teardrop,Smurf,Ping of Death等。
據(jù)說(shuō)全國(guó)有近半的電信和網(wǎng)通機(jī)房都有其產(chǎn)品,金盾防火墻是專門針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻,該設(shè)備采用自主研發(fā)的新一代抗拒絕攻擊算法,可達(dá)到10萬(wàn)-100萬(wàn)個(gè)并發(fā)攻擊的防御能力,同時(shí)對(duì)正常用戶的連接和使用沒(méi)有影響。專用得體系結(jié)構(gòu)可改變TCP/IP的內(nèi)核,在系統(tǒng)核心實(shí)現(xiàn)防御拒絕攻擊的算法,并創(chuàng)造性的將算法實(shí)現(xiàn)在網(wǎng)絡(luò)驅(qū)動(dòng)層,效率沒(méi)有受到限制。同時(shí)可防御多種拒絕服務(wù)攻擊及其變種,如:SYN Flood。TCP Flood、UDP Flood、ICMP Flood及其變種Land、Teardrop、Smurf、Ping of Death等等。
分析:
當(dāng)然也有一些技術(shù)人員提出觀點(diǎn),認(rèn)為從原則上說(shuō),上面類似產(chǎn)品不能說(shuō)是防火墻,應(yīng)該說(shuō)一種異常流量清洗系統(tǒng);現(xiàn)在的DDOS防御技術(shù)在防火墻也有,但防火墻的能力有限,不能很深入的針對(duì)每一個(gè)閥值參數(shù)進(jìn)行分析和執(zhí)行,而只有一個(gè)執(zhí)行,而且執(zhí)行的度量是定死了;沒(méi)有一個(gè)學(xué)習(xí)后再細(xì)化,這就是防火墻的弱點(diǎn),但這種產(chǎn)品一般是在高帶寬流量的環(huán)境應(yīng)用,說(shuō)白一點(diǎn),是放到運(yùn)營(yíng)商上面應(yīng)用,所以產(chǎn)品的性能要求十分嚴(yán)苛,要經(jīng)得起考驗(yàn),這不是鬧著玩;因?yàn)檫@套東西,運(yùn)營(yíng)商拿去也是給增值服務(wù)客戶應(yīng)用的,要收錢的,如果不能抵御一定流量的攻擊客戶肯定會(huì)翻臉。
那么,大家最關(guān)心的問(wèn)題:這些硬件防火墻到底能不能防DDOS呢?
這些硬件防火墻到底能不能防DDOS:
大體上說(shuō)是可以的,根據(jù)我們的了解,國(guó)內(nèi)大部分機(jī)房都是表示金盾效果還過(guò)得去,黑洞效果則更好一些,而Dosnipe由于合作的機(jī)房相對(duì)要少一些,所以收到的反饋意見(jiàn)不多,不過(guò)西南地區(qū)的一個(gè)電信機(jī)房代理商告訴我機(jī)房加裝Dosnipe防火墻之后確實(shí)杜絕了不少普通流量的攻擊。
但是,如果DDoS攻擊者加大攻擊的流量,大量消耗機(jī)房的出口總帶寬時(shí),任何一款防火墻都相當(dāng)于擺設(shè),因?yàn)椴还芊阑饓μ幚砟芰τ卸鄰?qiáng),出去的帶寬已經(jīng)被耗盡了,整個(gè)機(jī)房在外面看來(lái)就都是處于掉線狀態(tài),就像一個(gè)大門已經(jīng)擠滿了人,不管你在門里安排多少個(gè)警衛(wèi)檢查都沒(méi)用,外面的人還是進(jìn)不來(lái),而現(xiàn)在的攻擊者的行為大部分是出于商業(yè)目的,動(dòng)輒G級(jí)別的攻擊,一些機(jī)房本來(lái)帶寬就不是很足夠,一遭到大流量的攻擊肯定是整個(gè)機(jī)房大面積掉線,防火墻雖然檢測(cè)到攻擊,也只能是過(guò)濾掉那些非法數(shù)據(jù)包,保護(hù)內(nèi)部的網(wǎng)絡(luò)設(shè)備和服務(wù)器不受重創(chuàng),但掉線是機(jī)房總帶寬不足所導(dǎo)致,用再好的防火墻都無(wú)濟(jì)于事。
因此,即使很多機(jī)房都號(hào)稱采用多好的硬件防火墻,可以防御多大流量的攻擊,但如果你的服務(wù)器真的遭到大流量攻擊,機(jī)房還是不敢放你進(jìn)去,因?yàn)闀?huì)影響到其他服務(wù)器的正常訪問(wèn),而且托管一臺(tái)服務(wù)器收取的費(fèi)用本來(lái)就不多,為了做成這么一筆小生意而招惹大麻煩,運(yùn)營(yíng)商肯定覺(jué)得不劃算,最可憐的還是那些機(jī)房的網(wǎng)管人員,得手忙腳亂的封IP。
在果殼網(wǎng)任職期間經(jīng)歷過(guò)多次DDoS攻擊。那種絕望的心情,還歷歷在目。問(wèn)題不是你能做什么,而是機(jī)房決定了其實(shí)你什么都做不了。
攻擊者是控制一個(gè)足夠大的分布式集群來(lái)發(fā)起攻擊,各種雜七雜八的包,什么都會(huì)有。根本不在乎你開(kāi)的什么服務(wù),也沒(méi)那耐心分析你有什么服務(wù)。比如哪怕你根本沒(méi)開(kāi)UDP的任何服務(wù),但他就是發(fā)一大堆UDP的包,把你帶寬占滿。還有啥辦法。
十多年前的OS還沒(méi)法應(yīng)付大量TCP并發(fā)連接,于是那個(gè)年代有個(gè)SYN flood攻擊,就是一大堆SYN包嘗試握手。現(xiàn)代也有,效果大不如前,但是仍然在大流量下可以阻塞受害者的通信能力。
更現(xiàn)實(shí)的問(wèn)題在于,機(jī)房的總帶寬有限。當(dāng)你的服務(wù)器IP段受到攻擊時(shí),他會(huì)直接找上級(jí)接入商將發(fā)給你的包在主干網(wǎng)上都丟掉。此時(shí)雖然知道自己正在被DDoS攻擊,但攻擊包根本就沒(méi)到機(jī)房,更別說(shuō)服務(wù)器,于是只能是守著服務(wù)器,毫無(wú)流量,等待。
上級(jí)接入商大多是壟斷國(guó)企,根本沒(méi)耐心跟你做任何深層次合作,直接丟包是最簡(jiǎn)單方便的方法。同時(shí),即便此時(shí)攻擊者停止了攻擊,你也不知道。而想要上級(jí)接入商重新開(kāi)啟給你的包轉(zhuǎn)發(fā),動(dòng)則就是個(gè)一天的流程。而一旦發(fā)現(xiàn)攻擊還沒(méi)完,就立刻又是丟包。
那幾年被攻擊時(shí),也火燒火燎的找辦法。嘗試將網(wǎng)站部署到云計(jì)算平臺(tái)上,依靠對(duì)方提供的帶寬冗余來(lái)頂。甚至可能只是拼短期帶寬的費(fèi)用。當(dāng)時(shí)國(guó)內(nèi)的云計(jì)算提供商試了好幾家,最終都因?yàn)闆](méi)有足夠的帶寬應(yīng)對(duì)攻擊而拒絕了我們。他們都是出于對(duì)果殼網(wǎng)的喜愛(ài)和免費(fèi)幫忙的,能做到這一步也挺不容易了。
有人提到攻擊弱點(diǎn),我感覺(jué)真正這樣花費(fèi)精力去分析的攻擊者其實(shí)不多見(jiàn)。不過(guò)大多攻擊確實(shí)會(huì)避開(kāi)一些明顯抗攻擊能力不錯(cuò)的點(diǎn),比如很多網(wǎng)站的首頁(yè)會(huì)做靜態(tài)化,所以攻擊首頁(yè)就不劃算。圖片同理,對(duì)CPU消耗太小了。
幾個(gè)常見(jiàn)的弱點(diǎn):
1、登錄認(rèn)證
2、評(píng)論
3、用戶動(dòng)態(tài)
4、ajax api
總之涉嫌寫數(shù)據(jù)庫(kù),聯(lián)表查詢,緩存澗出的都是好目標(biāo)。
所以,回答就是:沒(méi)有啥好辦法,耐心等待吧。
看了其他幾個(gè)回答提供的方案,分別分析一下:
1、拼帶寬:或者說(shuō)拼軟妹幣,這不是一點(diǎn)點(diǎn)錢能搞定的,果殼網(wǎng)彼時(shí)只買了不足100M帶寬,所在早期機(jī)房總帶寬也不足40G,攻擊帶寬都沒(méi)見(jiàn)過(guò)低于10G的(機(jī)房的人后來(lái)告訴我的)。假設(shè)某便宜機(jī)房(肯定不在北上廣深),帶寬價(jià)格為100元/M*月,每月按峰值計(jì)費(fèi)。則要買10G帶寬頂一下,需要的月費(fèi)是100萬(wàn),100萬(wàn)……
2、流量清洗&封IP:如前述,要這么做的前提是攻擊包至少要到你的機(jī)房。而機(jī)房自保的措施導(dǎo)致了數(shù)據(jù)包根本到不了機(jī)房,無(wú)解
3、CDN服務(wù):現(xiàn)代CDN提供商還沒(méi)有完善的動(dòng)態(tài)網(wǎng)頁(yè)加速技術(shù),所以結(jié)果就是,你充其量利用CDN保住靜態(tài)化的主頁(yè)可以訪問(wèn),其他任何動(dòng)態(tài)網(wǎng)站功能就只能呵呵了。
方法如下,自行選擇:
1 砸?guī)?,超過(guò)D的就好了;
2 封ip,寧可錯(cuò)殺一千,不放過(guò)一個(gè);
3 搞定實(shí)施D你的組織(一般不是競(jìng)爭(zhēng)對(duì)手),讓他停止D;
4 把服務(wù)器搞到讓組織D你的人的(比如競(jìng)爭(zhēng)對(duì)手)同一個(gè)機(jī)房。
上面方法,4的最奏效 @:@
---更新----
時(shí)間可以撕破任何裝X,遇到CC之類的攻擊,基本無(wú)解。