專用服務(wù)器允許您為您的應(yīng)用程序、網(wǎng)站和業(yè)務(wù)訪問整個服務(wù)器 - 全部由您自己完成。然而，安全專用服務(wù)器是當(dāng)今所有者真正關(guān)心的問題，其中一個主要威脅是 DDoS 攻擊。這種攻擊對依賴互聯(lián)網(wǎng)進(jìn)行業(yè)務(wù)和生產(chǎn)工作的公司產(chǎn)生了重大影響。2000 年初，雅虎等許多著名網(wǎng)站都遭受了 DDoS 攻擊。

DDoS 攻擊者可以降低專用服務(wù)器的質(zhì)量或完全破壞受害者的網(wǎng)絡(luò)連接。DDoS 攻擊的主要目的是使該服務(wù)器的用戶部分或無法使用 CPU、RAM、存儲和其他網(wǎng)絡(luò)資源等資源。本文說明了一些保護(hù)您的網(wǎng)站免受 DDoS 攻擊的安全做法。

什么是 DDoS 攻擊？

分布式拒絕服務(wù) (DDoS) 攻擊是一種破壞目標(biāo)專用服務(wù)器正常運(yùn)行的惡意企圖。這種攻擊通過大量互聯(lián)網(wǎng)流量壓倒目標(biāo)或其周圍的基礎(chǔ)設(shè)施，破壞正常的流量、網(wǎng)絡(luò)或服務(wù)。通過使用許多受損或未受保護(hù)的計算機(jī)或服務(wù)器系統(tǒng)作為攻擊流量的來源，DDoS 攻擊變得成功。更準(zhǔn)確地說，DDoS 攻擊就像是由非真實(shí)用戶造成的意外交通堵塞，以阻止真實(shí)用戶到達(dá)他們的目的地、您的應(yīng)用程序或網(wǎng)站。

如何識別 DDoS 攻擊？

DDoS 攻擊有一些常見的癥狀。最常見的癥狀是應(yīng)用程序或網(wǎng)站突然變得不可用或速度極慢。但是，它可能是由專用服務(wù)器高峰時段的合法流量高峰引起的。建議使用流量分析工具來發(fā)現(xiàn) DDoS 攻擊的一些常見跡象：

• 來自單個 IP 范圍或 IP 地址的可疑大量流量。
• 來自共享單一行為配置文件（如設(shè)備類型、Web 瀏覽器版本或地理位置）的用戶的大量流量。
• 奇怪的流量高峰或模式；例如一天中奇數(shù)時間的意外流量或不自然的模式（例如每 20 分鐘后的流量高峰）。

了解 DDoS 攻擊

發(fā)起DDoS攻擊以攻擊受害服務(wù)器，形式如下：

• 攻擊者在軟件實(shí)現(xiàn)中發(fā)現(xiàn)一些弱點(diǎn)或錯誤來破壞服務(wù)。
• 一些 DDoS 攻擊會耗盡受害者系統(tǒng)的整個帶寬或資源。

攻擊者掃描網(wǎng)絡(luò)以找到最易受攻擊的機(jī)器，然后這些機(jī)器被攻擊者用作代理。攻擊者危害主機(jī)安全，利用欺騙IP地址發(fā)起DDoS攻擊，使得攻擊源難以追蹤。

DDoS 攻擊的分類

DDoS 攻擊的許多變體正在整個專用服務(wù)器的云網(wǎng)絡(luò)中萌芽。兩種主要類型與帶寬和資源有關(guān)。根據(jù)被利用的漏洞，DDoS 攻擊可以進(jìn)一步分為不同的類型。

• 帶寬耗盡攻擊：在這種情況下，攻擊通過淹沒不需要的流量來使用受害者或目標(biāo)系統(tǒng)的帶寬。此活動可防止合法流量到達(dá)您的專用服務(wù)器上托管的應(yīng)用程序或網(wǎng)站。
• 洪水攻擊：這種類型的攻擊是由攻擊者通過向受害者服務(wù)器發(fā)送大量流量來發(fā)起的。結(jié)果，受害者的 IP 流量網(wǎng)絡(luò)帶寬被阻塞。受害服務(wù)器的網(wǎng)絡(luò)帶寬飽和并迅速減速以阻止合法流量訪問網(wǎng)絡(luò)。洪水攻擊由 ICMP（Internet 控制消息協(xié)議）和 UDP（用戶數(shù)據(jù)報包）發(fā)起。
• 放大攻擊：這里DDoS攻擊者向一個廣播IP地址發(fā)送大量數(shù)據(jù)包。因此，廣播地址范圍內(nèi)的系統(tǒng)向受害系統(tǒng)發(fā)送回復(fù)。結(jié)果，導(dǎo)致惡意流量。這種類型的攻擊可以由攻擊者直接發(fā)起，也可以在僵尸機(jī)器的幫助下發(fā)起。這種攻擊的著名類型是 Smurf 和 Fraggle 攻擊。
• 資源耗盡攻擊： DDoS 資源耗盡攻擊以專用服務(wù)器的資源為目標(biāo)，使其癱瘓，無法為合法用戶提供服務(wù)。

一些常見的例子是：

• 協(xié)議漏洞攻擊
• 畸形數(shù)據(jù)包攻擊
• IP地址攻擊
• IP 數(shù)據(jù)包選項攻擊

什么是受 DDoS 保護(hù)的專用服務(wù)器？

受 DDoS 保護(hù)的專用服務(wù)器使用硬件和軟件來檢測和緩解 DDoS 攻擊。受 DDoS 保護(hù)的服務(wù)器將在您的服務(wù)器上設(shè)置防護(hù)罩，以保護(hù)您的網(wǎng)站或 Web 服務(wù)免受惡意 DDoS 攻擊，從而導(dǎo)致網(wǎng)站崩潰并導(dǎo)致經(jīng)濟(jì)損失。受 DDoS 保護(hù)的服務(wù)器被認(rèn)為是最容易受到 DDoS 攻擊的電子商務(wù)和游戲網(wǎng)站的最佳選擇。

DDoS防護(hù)機(jī)制

為了保護(hù)專用服務(wù)器免受 DDoS 攻擊，已經(jīng)采用并且仍在出現(xiàn)各種對策。大多數(shù) DDoS 攻擊是由試圖對受害者的專用服務(wù)器進(jìn)行未經(jīng)授權(quán)的訪問的入侵者引起的。下面討論一些常見的 DDoS 保護(hù)機(jī)制：

預(yù)防技巧：預(yù)防勝于治療！同樣的概念也適用于保護(hù)專用服務(wù)器免受 DDoS 攻擊的方法。一種這樣的方法是使用過濾器，例如：

• 入口過濾
• 出口過濾
• 基于路由的分布式包過濾
• 安全覆蓋服務(wù) (SOS)

其他常見的預(yù)防技術(shù)包括應(yīng)用安全補(bǔ)丁、更改 IP 地址、禁用 IP 廣播、禁用未使用的服務(wù)、負(fù)載平衡和蜜罐。這種預(yù)防技術(shù)不能完全消除對專用服務(wù)器的 DDoS 攻擊風(fēng)險，但會提高安全性。

檢測技術(shù)：這種方法可以幫助受害者避免 DDoS 攻擊的傳播，防止服務(wù)器崩潰。常用的方法有：

1. 異常檢測方法
2. 運(yùn)行 NOMAD，一個可擴(kuò)展的網(wǎng)絡(luò)監(jiān)控系統(tǒng)
3. 包采樣和過濾技術(shù)
4. 使用 MULTOPS，一種旨在檢測和防止 DDoS 攻擊的數(shù)據(jù)結(jié)構(gòu)
5. 誤用檢測

檢測響應(yīng)：如果您的專用服務(wù)器受到 DDoS 攻擊，接下來的任務(wù)是阻止攻擊并追蹤攻擊者以找出攻擊者的身份。它可以通過兩種方式完成，手動使用 ACL（訪問控制列表）或自動完成。

防御機(jī)制中要考慮的因素

在為您的專用服務(wù)器選擇所需的 DDoS 解決方案之前，需要考慮許多事情；喜歡：

• 功能性：解決方案機(jī)制應(yīng)該足夠功能性。無論攻擊有多強(qiáng)大，它都應(yīng)該有能力減少攻擊的影響。
• 透明：該技術(shù)必須易于實(shí)施。它需要一個專門的 IT 資源團(tuán)隊來修改現(xiàn)有網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施。
• 輕量級：最重要的是，該解決方案不應(yīng)使系統(tǒng)過載。
• 精確：選擇的解決方案不應(yīng)承諾大量誤報。許多方法需要丟棄真實(shí)流量，這不是理想的解決方案。

受 DDoS 保護(hù)的專用服務(wù)器實(shí)例

受 DDoS 保護(hù)的專用服務(wù)器對于阻止惡意黑客的攻擊至關(guān)重要。發(fā)現(xiàn)容易受到這種攻擊的普通服務(wù)器有很多活躍用戶，或者是產(chǎn)生大量收入的網(wǎng)站。讓我們看一下受 DDoS 保護(hù)的專用服務(wù)器最有用的最常見情況。

• 游戲服務(wù)器：游戲服務(wù)器是 DDoS 攻擊的常見目標(biāo)，因為電子游戲用戶的在線社區(qū)非常龐大。黑客經(jīng)常嘗試攻擊大多數(shù)流行游戲的服務(wù)器，例如《半條命》、《軍團(tuán)要塞》、《我的世界》和《反恐精英》。
• 電子商務(wù)服務(wù)器：對電子商務(wù)服務(wù)器的 DDoS 攻擊可能會導(dǎo)致大量停機(jī)（數(shù)小時甚至數(shù)天），從而阻止真正的客戶查看和購買您的產(chǎn)品。這也可能導(dǎo)致服務(wù)器崩潰。
• 在線銀行服務(wù)器：在線銀行服務(wù)器進(jìn)行在線貨幣交易，并使用其專用服務(wù)器來保存敏感信息，如信用卡和借記卡詳細(xì)信息。在最壞的情況下，DDoS 攻擊可以阻止您尊貴的客戶訪問他們在服務(wù)器上辛苦賺來的錢。
• SaaS 應(yīng)用服務(wù)器：就 SaaS 業(yè)務(wù)而言，托管應(yīng)用程序會為您帶來所有收入。對此類服務(wù)器的 DDoS 攻擊可能會導(dǎo)致頻繁且巨大的停機(jī)時間，從而導(dǎo)致客戶和收入損失。
• 電子郵件服務(wù)器：大多數(shù)專業(yè)的商業(yè)機(jī)構(gòu)都使用專用的電子郵件服務(wù)器，這些服務(wù)器最容易受到 DDoS 攻擊。黑客可以在找到您的 IP 地址后簡單地發(fā)送 DDoS 攻擊。

結(jié)論

對電子商務(wù)、電子通信、電子政務(wù)、電子學(xué)習(xí)和電子競技網(wǎng)站使用的網(wǎng)絡(luò)的一個主要威脅是 DDoS 攻擊。這種攻擊在專用服務(wù)器和云計算中不斷增加。本文簡要介紹了 DDoS 攻擊、其類型以及各種應(yīng)對措施，如檢測、預(yù)防和容忍技術(shù)以防止攻擊。如果您沒有專門的 IT 資源團(tuán)隊來做同樣的事情，建議托管在受 DDoS 保護(hù)的專用服務(wù)器上。