ddos攻击会被网警发现吗_ddos网站攻击100g

hacker|
194

发动峰值为104g的DDoS攻击至少需要多少台计算机?

目测你这个问题 你的服务器应该是被攻击了 机房告知你峰值104G的流量

100G需要多少肉鸡呢 这个不确定的 打个比方 黑客控制 100台服务器 每台服务器

接入的宽带都是1000M 的 这么100台这种服务器就是可以发出100G的流量

那么100G需要多少家庭肉鸡呢

假设家庭电脑是10M的宽带 那么以一千台电脑可以打出3 到5 G流量 这么算需要2万

左右的家庭电脑

这种攻击是不能防御的 只能去找国内更高防御的服务器 比如一些超过300G的防御的服务器

那么就很少有人能打死的 一般发生自己的服务器被攻击 都是对手干的 传奇行业比较普遍

怎么防御DDoS攻击?

一.网络设备设施

网络架构、设施设备是整个系统得以顺畅运作的硬件基础,用足够的机器、容量去承受攻击,充分利用网络设备保护网络资源是一种较为理想的应对策略,说到底攻防也是双方资源的比拼,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失。相应地,投入资金也不小,但网络设施是一切防御的基础,需要根据自身情况做出平衡的选择。

1. 扩充带宽硬抗

网络带宽直接决定了承受攻击的能力,国内大部分网站带宽规模在10M到100M,知名企业带宽能超过1G,超过100G的基本是专门做带宽服务和抗攻击服务的网站,数量屈指可数。但DDoS却不同,攻击者通过控制一些服务器、个人电脑等成为肉鸡,如果控制1000台机器,每台带宽为10M,那么攻击者就有了10G的流量。当它们同时向某个网站发动攻击,带宽瞬间就被占满了。增加带宽硬防护是理论最优解,只要带宽大于攻击流量就不怕了,但成本也是难以承受之痛,国内非一线城市机房带宽价格大约为100元/M*月,买10G带宽顶一下就是100万,因此许多人调侃拼带宽就是拼人民币,以至于很少有人愿意花高价买大带宽做防御。

2. 使用硬件防火墙

许多人会考虑使用硬件防火墙,针对DDoS攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤,可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击。如果网站饱受流量攻击的困扰,可以考虑将网站放到DDoS硬件防火墙机房。但如果网站流量攻击超出了硬防的防护范围(比如200G的硬防,但攻击流量有300G),洪水瞒过高墙同样抵挡不住。值得注意一下,部分硬件防火墙基于包过滤型防火墙修改为主,只在网络层检查数据包,若是DDoS攻击上升到应用层,防御能力就比较弱了。

3. 选用高性能设备

除了防火墙,服务器、路由器、交换机等网络设备的性能也需要跟上,若是设备性能成为瓶颈,即使带宽充足也无能为力。在有网络带宽保证的前提下,应该尽量提升硬件配置。

二、有效的抗D思想及方案

硬碰硬的防御偏于“鲁莽”,通过架构布局、整合资源等方式提高网络的负载能力、分摊局部过载的流量,通过接入第三方服务识别并拦截恶意流量等等行为就显得更加“理智”,而且对抗效果良好。

4. 负载均衡

普通级别服务器处理数据的能力最多只能答复每秒数十万个链接请求,网络处理能力很受限制。负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击都很见效。CC攻击使服务器由于大量的网络传输而过载,而通常这些网络流量针对某一个页面或一个链接而产生。在企业网站加上负载均衡方案后,链接请求被均衡分配到各个服务器上,减少单个服务器的负担,整个服务器系统可以处理每秒上千万甚至更多的服务请求,用户访问速度也会加快。

5. CDN流量清洗

CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率,因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制,CDN则更加理智,多节点分担渗透流量,目前大部分的CDN节点都有200G 的流量防护功能,再加上硬防的防护,可以说能应付目绝大多数的DDoS攻击了。这里我们推荐一款高性比的CDN产品:百度云加速,非常适用于中小站长防护。相关链接

6. 分布式集群防御

分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。

如何正确的防范恶意攻击

一、一般网络恶意攻击分为3类

分别为ARP欺骗攻击、CC攻击、DDoS流量攻击。

( 1 ) ARP欺骗攻击

         地址解析协议(ARP)是TCP/IP栈中的一个网络层,它将一个IP地址解析为MAC地址。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,保证通信的进行。ARP攻击只能在以太网(LAN,如:机房、内部网、企业网络等)中进行,无法攻击外部网络(Internet、非本地局域网)。

( 2 ) CC攻击

        相对而言,这种攻击比较有害。主机空间中有一个参数IIS连接数。当所访问的网站超过IIS连接数时,网站将出现不可用的服务。攻击者使用受控制的机器不断地向被攻击的网站发送访问请求,迫使IIS超过其连接限制数,当CPU或带宽资源耗尽时,网站将被攻击至关闭。对于高达100兆字节的攻击,防火墙是相当费力的,有时甚至会导致防火墙CPU资源耗尽而导致防火墙崩溃。高达100兆以上,在上层路由时操作员通常会阻止攻击的IP。CC攻击对动态网站造成的破坏最大,通常几台的电脑就可以搞垮一个网站。

(3)DDoS攻击

       这是一种DDoS攻击,而且这种攻击是最有害的。其原理是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,简单地添加防火墙是无用的,必须有足够的带宽与防火墙配合进行防御。

二、 解决办法

(1) ARP欺骗

       1)ARP欺骗是通过重复应答实现的,那么只需要在本机添加一条静态的ARP映射,这样就不需要询问网关MAC地址了,这种方法只对主机欺骗有效。对于网关欺骗还需要在网关中也添加一条到主机的静态ARP映射。1.用管理身份运行命令提示符;输入netsh i i show in,查看一下本机有哪些网络连接;

      2)查看一下网关的MAC地址。注意如果正遭受ARP欺骗攻击,通过此方法查处的可能是虚假的MAC地址。输入arp -a命令查询本机的arp映射表,如果找不到网关的信息,可以先ping一下网关;

      3)输入:netsh -c “i i” add neighbors 连接的Idx号 网关IP 网关MAC 添加一条静态映射,我已经添加过了,所以会显示 对象已存在。

(2) CC攻击防御策略

      1)取消域名绑定

        一般来说,cc攻击的目标是网站的域名。例如,如果我们的网站域名是“mj007.cn”,攻击者会在攻击工具中将目标设置为域名,然后进行攻击。我们对这种攻击的反应是在IIS上解绑定域名,使CC攻击没有目标。具体步骤如下:打开“IIS管理器”来定位特定网站点击右键“属性”打开网站属性面板中,单击“高级”按钮右边的IP地址,选择域名条目进行编辑,删除“主机头值”或改变到另一个值(域名)。

        经过模拟测试,取消域名绑定后,Web服务器的CPU立即恢复正常状态,通过IP接入连接一切正常。然而,同样明显的是,取消域名或更改域名不会改变其他人的访问权限。此外,针对IP的CC攻击是无效的,即使更改域名攻击者发现后,他也会攻击新域名。

      2)域名欺骗解析

       如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行网络测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的,这样他再多的肉鸡或者代理也会宕机,让其自作自受。

        另外,当我们的Web服务器遭受CC攻击时把被攻击的域名解析到国家有权威的政府网站或者是网警的网站,让其网警来收拾他们。现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务,大家可以登录进去之后进行设置。

       3)更改Web端口

        一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。

        4)IIS屏蔽IP

        我们通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框。在此窗口中我们可以设置"授权访问"也就是"白名单",也可以设置"拒绝访问"即"黑名单"。比如我们可以将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。

        5)采用防护CDN

        前4种方法都是对网站访问有很大的伤害的,而采用CDN话是可以智能识别别并拦截CC攻击,有效减少了误杀率,让网站可以达到正常访问的效果,国内以阿里云WAF防火墙、蔓捷信息高防最为出名,其中蔓捷信息高防物伤力高,防御能力强,推荐使用。

(3) DDoS攻击防御方法

      1)选择带有DDoS硬件防火墙的机房

         目前大部分的硬防机房对100G以内的DDoS流量攻击都能做到有效防护。选择硬防主要是针对DDoS流量攻击这一块的,如果你的企业网站一直遭受流量攻击的困扰,那你可以考虑将你的网站服务器放到DDoS防御机房。但是有的企业网站流量攻击超出了硬防的防护范围了,那就得考虑下面第二种了。

       2)CDN流量清洗防御

        目前,大多数的CDN服务提供商是普通的CDN,不具有保护功能,购买CDN应注意检查,购买可以防止600 Gbps的 DDoS攻击,可以说应对当前绝大多数的DDoS攻击是没问题的。同时,CDN技术不仅对企业网站流量攻击具有保护功能,也可以加快企业的网站的速度(前提应该基于CDN节点的位置),解决某些地方的缓慢网站打开。

       3)负载均衡技术

         这种类型主要针对DDoS攻击中的CC攻击进行防护,它使web服务器或其他类型的服务器超载,这些服务器具有大量的网络流量,通常由页面或链接生成。当然,这种现象也可能发生在访问量很大的网站上,但我们必须将这些正常的现象与分布式拒绝服务攻击区分开来。将负载均衡方案添加到企业网站后,不仅可以保护网站不受CC攻击,还可以平衡用户对各个web服务器的访问,减轻单个web服务器的负担,加快网站访问速度。

100Gbit/s流量DDOS攻击如何防御?

最近网站总是DDOS攻击,流量从几百M到几十G都有,给我带来了不少的困惑。

后来没办法了,决定自建CDN来解决这个问题,用了多台香港服务器配合DNSPOD来做负载均衡,每台服务器都有一定的防御值,单台服务器宕机可以自动暂停解析。现在CDN基本已经成型,理论上可以防御不小于100G的DDOS流量攻击,最近受到20G左右的攻击已经不会造成有效的影响。

阿里云等安全服务商的高防IP都很贵,最便宜一个月也要10000+,而且防御也没那么高,自建的CDN成本不是那么高,适合中小流量的用户使用,如果你的网站总是受到DDOS的攻击没有好的办法可以到看看,100G的DDOS防御每月只需 19元起

我的博客以及我的许多用户都已经接入了这个CDN,目前反应很不错。

0条大神的评论

发表评论