域名預(yù)訂/競價，好“米”不錯過

這幾年，聽過不少客戶關(guān)于DDoS攻擊的困惑，其中最多的就是“黑客真的有那么多資源?他們的攻擊資源從哪來的”，今天在這里做一個簡單的分析。

DDoS攻擊資源主要有四種：控制端資源、肉雞資源、反射攻擊資源、偽造流量源路由器。

1、控制端資源，指用控制大量的僵尸主機(jī)節(jié)點向攻擊目標(biāo)發(fā)起 DDoS 攻擊的木馬或僵尸網(wǎng)絡(luò)控制端。以2017年為例，年度利用肉雞發(fā)起 DDoS 攻擊的控制端總量為 25,532 個，絕大多數(shù)控制端來自境外，其中有10.1%來自美國，占比最高。

2、肉雞資源，指被控制端利用，向攻擊目標(biāo)發(fā)起 DDoS 攻擊的僵尸主機(jī)節(jié)點。利用真實肉雞地址直接攻擊(包含直接攻擊與其它攻擊的混合攻擊)的 DDoS 攻擊事件占事件總量的 80%。

3、反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施，它們提供的網(wǎng)絡(luò)服務(wù)中，如果存在某些網(wǎng)絡(luò)服務(wù)，不需要進(jìn)行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署(如 DNS 服務(wù)器，NTP 服務(wù)器等)，它們就可能成為被利用發(fā)起 DDoS 攻擊的網(wǎng)絡(luò)資源。

4、偽造流量源路由器分為跨域偽造流量源路由器和本地偽造流量源路由器?？缬騻卧炝髁吭绰酚善鳎侵皋D(zhuǎn)發(fā)了大量任意偽造。IP 攻擊流量的路由器。由于我國要求運營商在接入網(wǎng)上進(jìn)行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷。且該路由器下的網(wǎng)絡(luò)中存在發(fā)動DDoS攻擊的設(shè)備。本地偽造流量源路由器，是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域 IP 攻擊流量的路由器。說明該路由器下的網(wǎng)絡(luò)中存在發(fā)動 DDoS 攻擊的設(shè)備。

如何防御DDoS攻擊?

(1)服務(wù)器架構(gòu)優(yōu)化。如負(fù)載均衡、分布式集群防御。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，對DDoS流量攻擊和CC攻擊都很見效。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址，并且每個節(jié)點能承受不低于10G的DDoS攻擊，如一個節(jié)點受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點。

(2)服務(wù)器加固。服務(wù)器防御DDoS攻擊最根本的措施就是隱藏服務(wù)器真實IP地址。當(dāng)服務(wù)器對外傳送信息時，就可能會泄露IP。例如，我們常見的使用服務(wù)器發(fā)送郵件功能就會泄露服務(wù)器的IP。所以在發(fā)送郵件時，需要通過第三方代理發(fā)送。這樣顯示出來的IP是代理IP，才不會泄露真實IP地址。

(3)選擇商用的DDoS防護(hù)服務(wù)。如果DDoS攻擊的流量特別大的話，上面的兩種方式就不能滿足游戲企業(yè)的需求。這時候就需要選擇靠譜的云安全服務(wù)商。知道創(chuàng)宇抗D保使用自主研發(fā)的祝融智能攻擊識別引擎，專注于特大流量DDoS攻擊防御服務(wù)。抗D保擁有橫跨全國的分布式數(shù)據(jù)中心，以及600G以上帶寬抗DDoS能力，并可隨時應(yīng)急調(diào)用帶寬1.5TB，總防御能力超2T。這使得我們能完全滿足游戲企業(yè)的需求。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！