DDoS（分布式拒絕服務(wù)）攻擊是當(dāng)今最常見的網(wǎng)絡(luò)攻擊形式之一。它們的規(guī)模已經(jīng)超過每秒 1 太比特，Arbor Networks每天觀察到超過 2000 次此類攻擊。那么，你應(yīng)該關(guān)心嗎？一定！保護您的網(wǎng)絡(luò)以保持平靜并確保為您的客戶提供不間斷的服務(wù)非常重要。

可能的危害

DDoS 攻擊通過使用來自大量受感染機器的虛假流量來擾亂目標(biāo)計算機系統(tǒng)的常規(guī)任務(wù)。舉個簡單的例子，如果您的電子商務(wù)網(wǎng)站受到 DDoS 攻擊，您的客戶將無法下新訂單。如果它是呼叫中心，您的客戶將無法撥打或接聽電話。如果它是預(yù)訂引擎，您的客戶將無法進行新的預(yù)訂。換句話說，您的服務(wù)被拒絕了。盡管如此，這些服務(wù)中斷是否會對您的系統(tǒng)產(chǎn)生持久影響并損害您的客戶群？讓我們試著逐點回答這個問題。

• 服務(wù)中斷。首先，DDoS 攻擊拒絕訪問您的網(wǎng)站或服務(wù)。攻擊者濫用受感染或配置錯誤的機器網(wǎng)絡(luò)——服務(wù)器、路由器甚至個人電腦——為單個系統(tǒng)生成大量虛假流量，使其暫時不可用。
• 成本較高。大多數(shù)托管和云提供商向客戶收取額外帶寬或計算能力的費用。當(dāng)您受到 DDoS 攻擊時，如果啟用了自動擴展，您的入口流量會猛增，您的基礎(chǔ)設(shè)施可能會開始非常迅速地擴展。當(dāng)您收到下一份賬單時，您可能會感到驚訝，因為本月互聯(lián)網(wǎng)流量和計算資源費用已經(jīng)暴增。不要忘記檢查您的提供商的帶寬政策以避免此類賬單。
• 數(shù)據(jù)丟失。由于數(shù)據(jù)庫和系統(tǒng)不堪重負(fù)，未保存的工作可能不會被存儲或緩存。對于處理關(guān)鍵任務(wù)工作負(fù)載或運行某些數(shù)據(jù)一致性至關(guān)重要的在線事務(wù)處理應(yīng)用程序的企業(yè)來說，這可能是一個嚴(yán)重的問題。
• 混雜的原木。您的真實服務(wù)器日志將與數(shù)以千計的攻擊日志混合在一起，因此很難過濾和檢查是否一切正常。或者，您可能已經(jīng)設(shè)置了 if-then 規(guī)則并使您的系統(tǒng)自我反應(yīng)。在這種情況下，混合日志可能會對您的系統(tǒng)造成真正的損害，從而給您帶來很大的傷害。
• 分心。DDoS 可用作分散注意力的技術(shù)。當(dāng)您忙于過濾流量時，小型破壞性攻擊會同時執(zhí)行。幾個月前，這種攻擊發(fā)生在Electrum比特幣錢包，據(jù)說它是世界上最安全的冷錢包。來自超過 150,000 臺受感染主機的巨大 DDoS 攻擊已經(jīng)在 Electrum 網(wǎng)絡(luò)上發(fā)起，中斷了所有客戶交易。與此同時，網(wǎng)絡(luò)釣魚攻擊迫使向客戶彈出惡意消息，要求他們更新軟件。人們隨后錯誤地安裝了惡意軟件，這立即將他們所有的積蓄指向了詐騙者的錢包。

如何避免 DDoS？

隨著 DDoS 攻擊的數(shù)量和頻率不斷增加，我們應(yīng)該防止它們對您的項目造成傷害。您應(yīng)該提前計劃以保護您的網(wǎng)絡(luò)并將此類入侵的影響降至最低。那么如何防止ddos攻擊呢？

• 選擇提供 DDoS 保護的云提供商。大多數(shù)托管和云提供商提供針對最流行的 DDOS 攻擊（例如 UDP、NTP、SSDP、CharGen、DNS）的基本保護。但是，這不會使您 100% 防彈。一些提供商還提供高級安全措施，例如DDoS 清理保護，為您提供基于機器學(xué)習(xí)算法的定制實時保護。人工智能模型需要時間來學(xué)習(xí)和識別惡意流量，但一段時間后，這種保護應(yīng)該可以過濾并阻止高達(dá) 100% 的傳入 DDoS 攻擊。
• 構(gòu)建冗余基礎(chǔ)設(shè)施。使用良好的負(fù)載平衡系統(tǒng)將您的項目分散到多個數(shù)據(jù)中心以分配流量。當(dāng)您選擇不同國家的數(shù)據(jù)中心或至少使用不同的 Internet 服務(wù)提供商時，這種方法效果最好。
• 手動防御。如果您在受到攻擊時可以訪問您的服務(wù)器，請調(diào)整以下網(wǎng)絡(luò)配置規(guī)則以保護您的系統(tǒng)：
  • 限制您的路由器速率以防止您的 Web 服務(wù)器不堪重負(fù)；
  • 添加過濾器以告訴您的路由器丟棄來自明顯攻擊源的數(shù)據(jù)包；
  • 更積極地超時半開連接；
  • 丟棄欺騙性或畸形的包裹；
  • 設(shè)置較低的 SYN、ICMP 和 UDP 洪水丟棄閾值；
• 保持新鮮。始終將您的軟件更新到最新版本。它不僅可以保護您免受錯誤和漏洞利用，還可以幫助您避免 DDoS 攻擊。例如，一些較舊的軟件允許無限制的 ping-back，但沒有設(shè)置限制的選項。
• 查看您的 DNS 區(qū)域。我們通常會忘記簡單的事情。確保您沒有運行過時軟件的測試域或廢棄子域。查看是否有錯誤添加的A記錄。審核您的 DNS 區(qū)域、CNAME 和 MX 記錄，以確保一切都按照您的預(yù)期進行了設(shè)置。
• 隱藏您的 BIND 版本。黑客通常通過運行針對特定版本網(wǎng)絡(luò)軟件的腳本來找到他們的目標(biāo)。攻擊者可以通過運行如下簡單查詢輕松獲取您的 DNS 服務(wù)器版本：dig @ns1.server.com -c CH -t txt version.bind您可以通過編輯/ets/named.conf文件隱藏您的 BIND 版本。找到options配置塊并更改version "BIND";為您選擇的單詞。例如version "Unknown";保存文件并重新啟動 BIND 以應(yīng)用更改。
• 禁用 DNS 遞歸。DNS 緩存中毒是最常見的 DNS 攻擊之一。當(dāng)在中間發(fā)起欺騙攻擊時會發(fā)生這種情況，將信息提供給未經(jīng) DNS 來源授權(quán)的 DNS 服務(wù)器。這種漏洞允許流量從一臺主機重定向到另一臺主機。不過，您可以輕松避免這種情況。要禁用 DNS 遞歸，請在文件內(nèi)的options配置塊中添加以下行named.conf：

  allow-transfer {“none”;};
  allow-recursion {“none”;};
  recursion no;
  

  重新啟動 BIND 以應(yīng)用更改。

• 使用第 3 方 DDoS 緩解提供商。如果您遇到大量攻擊而無法自行應(yīng)對，則應(yīng)尋求 DDoS 防護專家的幫助。Cloudflare、Imperva和CloudLayar等多家知名提供商以低價提供基本的 DDoS 保護包。如果您遇到了嚴(yán)重的麻煩，請致電他們的支持并要求進行系統(tǒng)審核以發(fā)現(xiàn)任何其他漏洞。請記住，雖然基本套餐幾乎不花錢，但高級 DDoS 保護并不便宜。

結(jié)論

隨著越來越多的方法可用于在 Internet 上查找易受攻擊的系統(tǒng)，黑客們每天都在進步。盡管如此，現(xiàn)在有很多方法可以保護您的業(yè)務(wù)并避免任何 DDoS 攻擊。不要猶豫，提前采取預(yù)防措施，晚上就會睡個好覺。