相信大家應該還沒有忘記2009年5月19日的全國性斷網事件,導致全國性斷網的起因是一次DDoS網絡攻擊,事件過去快十年了,隨著互聯網的高速發展和深入應用,現在網絡攻擊態勢怎麼樣了呢?
通過下面這一張圖表,我們可以直觀的看出,隨著互聯網的高速發展和深入應用,全球範圍內的DDoS攻擊亦隨之呈現了上揚趨勢。下圖是通過中國電信旗下網站截取的統計圖表,圖內展示了從2013年1月至今的5年內,全球範圍內DDoS攻擊趨勢圖。
中國電信旗下網站展示的2013年至今5年內DDoS攻擊趨勢
從上圖可以看出,近年來DDoS網絡攻擊處於高發時期,同時DDoS攻擊會給整個利用互聯網經營的企業,帶來非常大的經濟損失,是令全球企事業單位甚至個人用戶頭疼的事情。沒有網絡安全,就沒有國家安全。面對如此嚴峻的形式,就拿DDoS網絡攻擊真的就沒有更好的防禦措施嗎?
到底什麼是DDoS攻擊呢?
分佈式拒絕服務攻擊攻擊(Distributed Denial of Service),也就是常常被大家簡稱為DDOS的網絡攻擊。
百度百科對DDoS攻擊的定義相對抽象:分佈式拒絕服務(DDoS)攻擊指藉助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
本文引用支付寶阮一峰在其博客的舉例,來形象的告訴你DDoS是如何發動攻擊的:我開了一家餐廳,正常情況下,最多可以容納30個人同時進餐。你直接走進餐廳,找一張桌子坐下點餐,馬上就可以吃到東西。但是很不幸,我得罪了一個流氓,他派出300個人同時湧進餐廳,這些人看上去跟正常的顧客一樣,每個都說”趕快上餐”。但是,餐廳的容量只有30個人,根本不可能同時滿足這麼多的點餐需求,加上他們把門口都堵死了,裡三層外三層,正常用餐的客人根本進不來,實際上就把我的餐廳給癱瘓了。
這就是DDoS 攻擊的原理和導致的後果,它能在短時間內發起大量的訪問請求,耗盡網絡資源或服務器資源,讓網絡癱瘓或者服務器無法響應正常的訪問,最終造成網站實質性的無法訪問。
從技術角度講,DDoS攻擊不是一種攻擊,而是一大類攻擊的總稱,它有幾十種類型,而且新的攻擊方法還在不斷被髮明出來,比如SYN/TCP/UDP/ICMP Flood,及其變種Land/Teardrop/Smurf/Ping of Death,最常見的就是CC攻擊。
抵禦DDoS的難點?
前面已經敘述過DDoS攻擊的特點,主要是消耗掉被攻擊目標的硬件、網絡等資源,導致正常的請求無法抵達目標服務器。那麼,過濾掉這些非正常的流量就變得很重要了,但是識別、處理並過濾掉這些攻擊流量,是人工無法實現的,是需要耗費大量服務器、網絡帶寬等等資源的,換句話說成本是比較高的,普通用戶是很難搭建起如此龐大的防禦網。
高成本,這就成了抵禦DDoS攻擊最大的難點。
如何有效的抵禦DDoS攻擊?
簡單來說,就是實現攔截惡意請求。
要實現“攔截惡意請求”的背後,需要投入巨資,配套諸多的軟硬件及策略做支撐,比如,專業硬件防火牆,更大的帶寬容量、更多的IP地址、更專業的防護策略等等,有了這一整套解決方案,方能做到精準識別並攔截。
因為這種做法的投入比較大,一般服務商比較難以支撐,所以並不是所有服務商都具備如此能力。為了更加有效的抵禦DDoS攻擊,更多企業網站選擇ok23的歐科網絡,在服務器部署賦予這樣的防禦能力。
閱讀更多 有資源分享 的文章
