ddos网络攻击_弹性公网ddos攻击

如何防御DDOS流量攻击？

第一步：

方案特点：

防御各种基于在线游戏的DDoS攻击，如游戏空连接、慢连接、游戏CC攻击、踢人外挂、针对游戏网关和游戏战斗服务器的攻击

建议搭配：

优质BGP云服务器+AnTi防御

AnTI防御基于云漫网络自主研发的攻击防护服务产品，为客户提供DDoS、CC、WAF防护服务，可以防护SYN Flood、UDP

Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC攻击、

用户购买AnTI防御，把手游APP连接服务端的域名解析到AntTI防御cname域名上，同时在用户后台配置业务端口；所有公网流量都会走高防机房，通过端口协议转发的方式将用户的访问通过AnTi防御节点转发到源站IP，

同时将恶意攻击流量在AnTi防御节点上进行清洗过滤后将正常流量返回给源站IP，从而确保源站IP稳定访问的防护服务。

防护海量DDoS攻击

成功防御全球最大DDoS攻击，攻击流量达到453.8G。

有效抵御所有各类基于网络层、传输层及应用层的DDoS攻击。

精准攻击防护

针对交易类、加密类、七层应用、智能终端、在线业务攻击精准防护，使得威胁无处可逃。

隐藏用户服务资源

阿里云云盾服务可对用户站点进行更换并隐藏，云盾资源做为源站的前置，增加源站安全性，使攻击者无法找到受害者网络资源。

弹性防护

DDoS防护性能弹性调整，用户可在控制台自助升级，秒级生效，无需新增任何物理设备，业务上也无需进行任何调整，整个过程服务无中断。

高可靠、高可用的服务

全自动检测和攻击策略匹配，实时防护，清洗服务可用性99.99%。

DDoS攻击

• 分布式拒绝服务（DDoS：Distributed Denial of Service Attack）攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施，以破坏目标服务器、服务或网络正常流量的恶意行为

• DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机，也可以包括其他联网资源（如 IoT 设备）

• 攻击者利用受控主机发送大量的网络数据包，占满攻击目标的带宽，使得正常请求无法达到及时有效的响应

• DNS 响应的数据包比查询的数据包大，攻击者发送的DNS查询数据包大小一般为 60 字节左右，而查询返回的数据包的大小通常在3000字节以上，因此放大倍数能达到50倍以上，放大效果惊人

• 主要通过对系统维护的连接资源进行消耗，使其无法正常连接，以达到拒绝服务的目的，此类攻击主要是因为TCP 安全性设计缺陷引起的

• 目标计算机响应每个连接请求，然后等待握手中的最后一步，但这一步确永远不会发生，因此在此过程中耗尽目标的资源

• 消耗应用资源攻击通过向应用提交大量消耗资源的请求，以达到拒绝服务的目的

• 这种类型的攻击较简单的实现可以使用相同范围的攻击 IP 地址、referrer 和用户代理访问一个 URL；复杂版本可能使用大量攻击性 IP 地址，并使用随机 referrer 和用户代理来针对随机网址

• LOTC是一个最受欢迎的DOS攻击工具。 这个工具曾经被流行的黑客集团匿名者用于对许多大公司的网络攻击

• 它可以通过使用单个用户执行 DOS 攻击小型服务器，工具非常易于使用，即便你是一个初学者。 这个工具执行DOS攻击通过发送UDP，TCP或HTTP请求到受害者服务器。你只需要知道服务器的IP地址或URL，其他的就交给这个工具吧

• XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议执行DOS攻击任何服务器。XOIC开发者还声称XOIC比LOIC在很多方面更强大

• 一般来说,该工具有三种攻击模式,第一个被称为测试模式，是非常基本的； 第二个是正常的DOS攻击模式； 最后一个是带有HTTP / TCP / UDP / ICMP消息的DOS攻击模式

• 对付小型网站来说，这是一个很有效的DDOS工具, 但是从来没有尝试的要小心点，你可能最终会撞自己的网站的服务器

• HULK是另一个不错的DOS攻击工具，这个工具使用某些其他技术来避免通过攻击来检测,它有一个已知的用户代理列表，且使用的是随机请求

• 输入 URL ，点击 Lock on，设置 Method 模式（比如 HTTP)，设置速度等其他参数

• 点击 IMMA CHARING MAH LAZER ,开始攻击

• 打开被攻击的站点，发现此时已经打不开

1、查看流量设备，发现攻击者使用僵尸网络在某时间段内发起了DDoS攻击

2、进一步对网络数据包进行抓包分析，发现攻击者使用 HTTP 请求功能向服务器发起多次请求，服务器返回多个响应文件，造成网络负载过高

3、对服务器访问日志进行排查

1、配置防火墙策略，屏蔽异常访问的IP地址

2、调整防护设备策略，在不影响业务的情况下限制 HTTP Range 形式访问

3、如果流量远远超出出口带宽，建议联系运营商进行流量清洗

1、攻击前的防御阶段

2、攻击时的缓解阶段

3、攻击后的追溯总结阶段

• 尽量避免将非业务必需的端口暴露在公网上，避免与业务无关的请求和访问

• 对服务器进行安全加固，包括操作系统即服务软件，减少可能被攻击的点

• 优化网络架构，保证系统的弹性和冗余，防止单点故障发生

• 对服务器性能进行测试，评估正常业务下能承受的带宽，保证带宽有余量

• 对现有架构进行压力测试，评估当前业务吞吐处理能力

• 使用全流量监控设备（如天眼）对全网中存在的威胁进行监控分析，实时关注告警

• 根据当前技术架构、人员、历史攻击情况等，完善应急响应技术预案

如何有效缓解DDoS攻击？主要的手段有哪些？

他人发起DDoS攻击你，那是外因，我们改变不了。但是我们可以从内做防御，缓解DDoS攻击。一般是从减少暴漏、优化架构、服务器加固、业务监控、商业解决方案等几方面着手。

减少暴漏

攻击之前，对方会扫描你的开放端口，针对你所提供的服务，让僵尸网络合法侵占你的资源。所以我们尽量避免将服务器的端口暴漏在公网上。阿里云的安全组可以有效防止系统被扫描或者意外暴露。

优化业务架构

运营前期，技术团队都会对业务架构进行压力测试，但很多时候，企业处于成本考虑，没有做好弹性和冗余，这导致我们在面对攻击时，变得不堪一击。

部署弹性伸缩+负载均衡：负载均衡能够降低单台ECS的压力，可以有效缓解一定流量范围内的连接层DDoS攻击;负载均衡可以有效的缓解会话层和应用层攻击，在遭受攻击时自动增加服务器，提升处理性能，避免业务遭受严重影响。

余量带宽：利用TCP三次握手可以发起DDoS攻击，占用你的宽带资源，所以在购买带宽时确保有一定的余量带宽，可以避免遭受攻击时带宽大于正常使用量而影响正常用户的情况。

服务安全加固

对服务器上的操作系统、软件服务进行安全加固，减少可被攻击的点，增大攻击方的攻击成本：

确保服务器的系统文件是最新的版本，并及时更新系统补丁。

对所有服务器主机进行检查，清楚访问者的来源。

过滤不必要的服务和端口。例如，对于WWW服务器，只开放80端口，将其他所有端口关闭，或在防火墙上设置阻止策略。

限制同时打开的SYN半连接数目，缩短SYN半连接的timeout时间，限制SYN/ICMP流量。

仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更，则说明服务器可能遭到了攻击。

限制在防火墙外进行网络文件共享。降低黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能将会陷入瘫痪。

充分利用网络设备保护网络资源。在配置路由器时应考虑针对流控、包过滤、半连接超时、垃圾包丢弃、来源伪造的数据包丢弃、SYN阀值、禁用ICMP和UDP广播的策略配置。

通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接，限制疑似恶意IP的连接、传输速率。

业务监控

阿里云的云监控服务可用于收集、获取阿里云资源的监控指标或用户自定义的监控指标，探测服务的可用性，并支持针对指标设置警报。

商用安全方案

事实上，当企业一直遭受大规模的DDoS攻击时，以上几种防御方法，显得很渺小，分分钟几十G上百G的攻击流量，只能通过寻求商业安全解决方案来解决。