如何防御ddos攻擊?網(wǎng)上DDOS攻擊的幾種方式都有各自的特點(diǎn)和殺傷力,合理使用ddos防御技術(shù),可減輕或緩解攻擊危害。這里介紹下幾種抵御DDOS攻擊的方法。
CC防御技術(shù)
對(duì)是否HTTP Get的判斷,要統(tǒng)計(jì)到達(dá)每個(gè)服務(wù)器的每秒鐘的GET請(qǐng)求數(shù),如果遠(yuǎn)遠(yuǎn)超過(guò)正常值,就要對(duì)HTTP協(xié)議解碼,找出HTTP Get及其參數(shù)(例如URL等)。然后判斷某個(gè)GET 請(qǐng)求是來(lái)自代理服務(wù)器還是惡意請(qǐng)求,并回應(yīng)一個(gè)帶Key的響應(yīng)要求,請(qǐng)求發(fā)起端作出相應(yīng)的回饋。如果發(fā)起端不響應(yīng)則說(shuō)明是利用工具發(fā)起的請(qǐng)求,這樣HTTP Get請(qǐng)求就無(wú)法到達(dá)服務(wù)器,達(dá)到防護(hù)的效果。
UDP Flood防御技術(shù)
UDP協(xié)議與TCP協(xié)議不同,是無(wú)連接狀態(tài)的協(xié)議,并且UDP應(yīng)用協(xié)議五花八門,差異極大,因此針對(duì)UDP Flood的防護(hù)非常困難。一般最簡(jiǎn)單的方法就是不對(duì)外開(kāi)放UDP服務(wù)。
如果必須開(kāi)放UDP服務(wù),可以根據(jù)該業(yè)務(wù)UDP最大包設(shè)置UDP最大包大小,以過(guò)濾異常流量。還有一種辦法就是建立UDP連接規(guī)則,要求所有去往該端口的UDP包,必須首先與TCP端口建立TCP連接,然后才能使用UDP通訊。
DNS Flood防御技術(shù)
在UDP Flood的基礎(chǔ)上對(duì) UDP DNS Query Flood 攻擊進(jìn)行防護(hù),根據(jù)域名IP自學(xué)習(xí)結(jié)果主動(dòng)回應(yīng),減輕服務(wù)器負(fù)載(使用 DNS Cache)。
對(duì)突然發(fā)起大量頻度較低的域名解析請(qǐng)求的源IP地址,進(jìn)行帶寬限制,在攻擊發(fā)生時(shí),降低很少發(fā)起域名解析請(qǐng)求源IP地址的優(yōu)先級(jí),限制每個(gè)源IP地址每秒的域名解析請(qǐng)求次數(shù)。DNS Flood防御技術(shù)可在變化中不斷調(diào)整,以求防御的最佳效果。