分布式拒绝服务(DDoS)——流量洪水与清洗
分布式拒绝服务(DDoS)——流量洪水与清洗摘要:分布式拒绝服务(DDoS, Distributed Denial of Service)通过控制大量傀儡机向目标发送过量请求,耗尽带宽、CPU或连接数,导致正常服务不可用。DDoS是黑客网站攻击中最难以完全防御的一类,但可通过CDN、限流、高防IP进行缓解。本文介绍DDoS常见类型(流量型、协议型、资源型),并给出多层防御架构。关键词:黑客网站攻击;DDoS;分布式拒绝服务;流量清洗;渗透测试;CDN;限流一、引言DDoS攻击不以窃取数据为目的,而是摧毁可用性。2020年AWS遭受的2.3 Tbps DDoS攻击为历史之最。任何联网服务都可能成为目标,因此防御DDoS需要ISP、CDN和自身架构协同。二、DDoS三种类型类型目标示例
带宽洪水网络带宽DNS放大反射攻击
协议攻击网络设备资源SYN Flood、Ping of Death
应用层攻击Web服务器CPU/DBHTTP Slowloris、CC攻击
三、防御体系
[*]云防护/高防服务:Cloudflare、AWS Shield、阿里云Anti-DDoS。
[*]基于边缘的速率限制:对单个IP的请求速率进行限制。
[*]SYN Cookie:防御SYN Flood。
[*]行为分析:识别异常流量特征,动态封禁。
[*]弹性扩容:自动化伸缩应对突发流量。
四、总结DDoS攻击很难完全阻断,但合理利用外部防护服务可极大降低风险。
页:
[1]