如何防御ddos攻擊?
網(wǎng)上DDOS攻擊的幾種方式都有各自的特點(diǎn)和殺傷力,合理使用ddos防御技術(shù),可減輕或緩解攻擊危害。這里介紹下幾種抵御DDOS攻擊的方法。
CC防御技術(shù)
對是否HTTP Get的判斷,要統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器的每秒鐘的GET請求數(shù),如果遠(yuǎn)遠(yuǎn)超過正常值,就要對HTTP協(xié)議解碼,找出HTTP Get及其參數(shù)(例如URL等)。然后判斷某個(gè)GET 請求是來自代理服務(wù)器還是惡意請求,并回應(yīng)一個(gè)帶Key的響應(yīng)要求,請求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端不響應(yīng)則說明是利用工具發(fā)起的請求,這樣HTTP Get請求就無法到達(dá)服務(wù)器,達(dá)到防護(hù)的效果。
UDP Flood防御技術(shù)
UDP協(xié)議與TCP協(xié)議不同,是無連接狀態(tài)的協(xié)議,并且UDP應(yīng)用協(xié)議五花八門,差異極大,因此針對UDP Flood的防護(hù)非常困難。一般最簡單的方法就是不對外開放UDP服務(wù)。
如果必須開放UDP服務(wù),可以根據(jù)該業(yè)務(wù)UDP最大包設(shè)置UDP最大包大小,以過濾異常流量。還有一種辦法就是建立UDP連接規(guī)則,要求所有去往該端口的UDP包,必須首先與TCP端口建立TCP連接,然后才能使用UDP通訊。
DNS Flood防御技術(shù)
在UDP Flood的基礎(chǔ)上對 UDP DNS Query Flood 攻擊進(jìn)行防護(hù),根據(jù)域名IP自學(xué)習(xí)結(jié)果主動回應(yīng),減輕服務(wù)器負(fù)載(使用 DNS Cache)。
對突然發(fā)起大量頻度較低的域名解析請求的源IP地址,進(jìn)行帶寬限制,在攻擊發(fā)生時(shí),降低很少發(fā)起域名解析請求源IP地址的優(yōu)先級,限制每個(gè)源IP地址每秒的域名解析請求次數(shù)。DNS Flood防御技術(shù)可在變化中不斷調(diào)整,以求防御的最佳效果。
以上是日常幾種防御ddos攻擊的介紹,有效防護(hù)ddos可選擇高防服務(wù),輕松應(yīng)對DDoS、CC等攻擊。