常见的对网站进行ddos攻击,一般就是cc攻击了,会导致网页访问异常缓慢,cpu长时间处于100%,甚至直接宕机崩溃。
cc攻击是一种针对http业务的攻击手段,该攻击模式不需要太大的攻击流量,它是对服务端业务处理瓶颈的精确打击,攻击目标包括:大量数据运算、数据库访问、大内存文件等,攻击特征包括:
a、只构造请求,不关心请求结果,即发送完请求后,立即关闭会话;
b、持续请求同一操作;
c、故意请求小字节的数据包(如下载文件);
d、qps高;
针对cc的攻击的防御需要结合具体业务的特征,针对具体的业务建立一系列防御模型,如:连接特征模型,客户端行为模型,业务访问特征模型等,接收请求端统计客户信息并根据模型特征进行一系列处理,包括:列入黑名单,限制访问速率,随机丢弃请求等。
专业的事情还是交给专业的人来做,最好的方式还是选择第三方的云厂商来解决问题,一般就三步:
1、更换自己网站的源ip,这一步非常重要,因为攻击者已经知道你的真实ip了;
2、购买高防ip,配置转发规则,防护策略,添加域名、已经更换的源站ip;
3、修改dns解析,指向高防ip,隐藏不要泄露自己的真实ip。
此外针对流行的 ddos/cc 流量型攻击,可以采用ddos 高防服务,通过云端清洗集群、数据库监控牵引系统等技术进行有效的削弱。
市面上的“高防服务器”、“高防服务”有很多,但资源是无底洞,选择高防服务可以从安全性、易用性、成本效益等方面来考量。其中安全性是核心,不能缓解攻击的,再便宜也是白扔钱。安全性的决定因素:
•服务器和带宽资源。主流云服务商的高峰服务都可以防护 syn flood、ack flood、icmp flood、udp flood、dns flood、http flood等常见的攻击类型,以及针对应用层的 cc 攻击,但最终能否防护成功还要看厂商可防护带宽的大小。比如网易易盾的 ddos 高防服务,提供 1t 超大防护带宽,单 ip 防护能力最大可达数百 g,就是认为超大带宽才能从容应对超大流量攻击。
•流量分析能力。唯有基于海量数据分析,进而对合法用户进行模型化,才能对 ddos 流量进行精确清洗。借助网易易盾 ddos 高防服务,用户可以通过配置高防 ip,将攻击流量引流到高防 ip,抵御超大流量 ddos 攻击。
•弹性扩展能力。ddos 流量巨大,防护系统支持弹性扩展,采用基础预付费 弹性后付费,既可以在避免带宽浪费的前提下进行有效防护,又可以节约成本。
相关阅读: