DDoS(分布式拒绝服务)攻击是无解的吗?



  • 事实证明,DDoS攻击并不是无解的,不过对于很多企业而言,防御DDoS攻击还是有一定的难度。

    相信很多人都明白,提到DDoS攻击就不得不提到TCP/IP协议。作为一系列协议的总和,TCP/IP协议栈是构成网络通信的核心骨架,其定义了电子设备是如何连入因特网,以及数据如何在二者之间保持高效传输。纵观整个互联网发展史,TCP/IP协议技术的核心地位至今不可撼动,但未曾想到这种关键技术却成为了DDoS攻击的关键一环,甚至可以说,完全放弃TCP/IP,才能有可能完全抵御DDoS攻击。

    业内人士曾这样比喻:DDoS攻击就像是一场暴雨引发的洪水,面对这种威胁,不能只靠加固大堤修建拦水坝,面对花样翻新的DDoS威胁,不能仅仅依靠一招一式就想打遍天下,而起码应该是一个系统工程。所以,如果能抗住DDos攻击,直到攻击者再无力发动进攻,防御也算成功了。不过,这只是一种“缓解”疗法,而不是一种“治愈”方案。

    面对DDoS的攻击,企业用户到底该如何去防御?其实仅需按照“预防为主,综合防范”的原则,将网络与信息安全工作重点从“事后处理”转移到“事前防御”和“事中监督”上来,比如事前增强信息网络安全关键岗位人员的责任感与安全意识;事中制订详细的网络安全应急计划,事后保持完整的网络攻击“现场”,追查攻击者来源。此外,还需加强企业网络安全系统建设,具体的操作包括:

    1.确保服务器的系统文件是最新的版本,并及时更新系统补丁

    2.关闭不必要的服务

    3.限制同时打开的SYN半连接数目

    4.缩短SYN半连接的TimeOut 时间

    5.正确设置防火墙

    6.认真检查网络设备和主机/服务器系统的日志

    7.限制在防火墙外与网络文件共享

    不过即便是这样纵深交错的防御体系,但仍有它的局限,比如说以下三个防御方案均存有优劣:

    CDN

    这种方式的局限在于,运用转进方式闪避DDoS侵袭,对于静态网页极具保护功效,但对于需要与后台实时联机撮合的动态网页,则相对不适用;因为在与后台主机的通信中,难以避免的混入恶意流量。此外,金融联机服务涉及SSL加密,无法交于第三方。CDN从业者仅能协助提供HTTP或HTTPS等相关服务,面对以直接、真实IP为目标的攻击却也无计可施。

    流量清洗

    区域性电信运营商,由于无法主动侦测应用层攻击或状态耗损攻击,再加上即使勉强过滤攻击流量,但因容量有限,只要容量用尽便无法执行清洗。而国际流量清洗中心存在的延迟难以避免,用户把流量导向清洗中心的过程,需历经通报时间、路由收敛时间,及清洗中心启动过滤的时间,合计形成约0.5~1个小时空窗期,迫使用户必须中断服务。

    防火墙

    由防火墙、入侵防御系统(IPS)、网页应用程序防火墙(WAF)或广域网负载均衡器(WANLinkLoadBalancer)等设备供货商利用既有产品基础,增添DDoS防护的附加功能。

    网络安全无小事,没有绝对的攻击,也没有绝对的防御。作为国内知名的云安全厂商,防御DDoS攻击目前来说还是有一定的难度,当然最简单粗暴的方式还是用钱来解决实际问题。所以说,如何防御DDoS攻击对于信息安全行业从业者来说,任重道远,还需策马扬鞭。

    为提供全方位的DDoS防护服务解决方案,腾讯云安全 DDoS 防护(大禹)基于腾讯集团宙斯盾DDoS防护系统技术构建,充分利用腾讯安全技术与经验积累,具有全面、高效、专业的 DDoS 防护能力,广泛服务于腾讯游戏、网站、支付、社交等各类业务,为企业组织提供 BGP 高防包、BGP 高防 IP、棋牌盾等多种 DDoS 解决方案,协助企业应对 DDoS 攻击问题。

    目前,腾讯云安全DDoS防护利用充足、优质的 BGP 防护资源,不断优化“自研+AI 智能识别”清洗算法,持续保障用户业务的稳定、安全运行,防护场景现已覆盖游戏、互联网、视频、金融等行业机构。
    原文出自:https://www.bishijie.com/shendu_25312


Log in to reply