搜索让世界变的简单

DDoS（分布式拒绝服务）攻击是当今最常见的网络攻击形式之一。它们的规模已经超过每秒 1 太比特，Arbor Networks每天观察到超过 2000 次此类攻击。那么，你应该关心吗？一定！保护您的网络以保持平静并确保为您的客户提供不间断的服务非常重要。

可能的危害

DDoS 攻击通过使用来自大量受感染机器的虚假流量来扰乱目标计算机系统的常规任务。举个简单的例子，如果您的电子商务网站受到 DDoS 攻击，您的客户将无法下新订单。如果它是呼叫中心，您的客户将无法拨打或接听电话。如果它是预订引擎，您的客户将无法进行新的预订。换句话说，您的服务被拒绝了。尽管如此，这些服务中断是否会对您的系统产生持久影响并损害您的客户群？让我们试着逐点回答这个问题。

• 服务中断。首先，DDoS 攻击拒绝访问您的网站或服务。攻击者滥用受感染或配置错误的机器网络——服务器、路由器甚至个人电脑——为单个系统生成大量虚假流量，使其暂时不可用。
• 成本较高。大多数托管和云提供商向客户收取额外带宽或计算能力的费用。当您受到 DDoS 攻击时，如果启用了自动扩展，您的入口流量会猛增，您的基础设施可能会开始非常迅速地扩展。当您收到下一份账单时，您可能会感到惊讶，因为本月互联网流量和计算资源费用已经暴增。不要忘记检查您的提供商的带宽政策以避免此类账单。
• 数据丢失。由于数据库和系统不堪重负，未保存的工作可能不会被存储或缓存。对于处理关键任务工作负载或运行某些数据一致性至关重要的在线事务处理应用程序的企业来说，这可能是一个严重的问题。
• 混杂的原木。您的真实服务器日志将与数以千计的攻击日志混合在一起，因此很难过滤和检查是否一切正常。或者，您可能已经设置了 if-then 规则并使您的系统自我反应。在这种情况下，混合日志可能会对您的系统造成真正的损害，从而给您带来很大的伤害。
• 分心。DDoS 可用作分散注意力的技术。当您忙于过滤流量时，小型破坏性攻击会同时执行。几个月前，这种攻击发生在Electrum比特币钱包，据说它是世界上最安全的冷钱包。来自超过 150,000 台受感染主机的巨大 DDoS 攻击已经在 Electrum 网络上发起，中断了所有客户交易。与此同时，网络钓鱼攻击迫使向客户弹出恶意消息，要求他们更新软件。人们随后错误地安装了恶意软件，这立即将他们所有的积蓄指向了诈骗者的钱包。

如何避免 DDoS？

随着 DDoS 攻击的数量和频率不断增加，我们应该防止它们对您的项目造成伤害。您应该提前计划以保护您的网络并将此类入侵的影响降至最低。那么如何防止ddos攻击呢？

• 选择提供 DDoS 保护的云提供商。大多数托管和云提供商提供针对最流行的 DDOS 攻击（例如 UDP、NTP、SSDP、CharGen、DNS）的基本保护。但是，这不会使您 100% 防弹。一些提供商还提供高级安全措施，例如DDoS 清理保护，为您提供基于机器学习算法的定制实时保护。人工智能模型需要时间来学习和识别恶意流量，但一段时间后，这种保护应该可以过滤并阻止高达 100% 的传入 DDoS 攻击。
• 构建冗余基础设施。使用良好的负载平衡系统将您的项目分散到多个数据中心以分配流量。当您选择不同国家的数据中心或至少使用不同的 Internet 服务提供商时，这种方法效果最好。
• 手动防御。如果您在受到攻击时可以访问您的服务器，请调整以下网络配置规则以保护您的系统：
  • 限制您的路由器速率以防止您的 Web 服务器不堪重负；
  • 添加过滤器以告诉您的路由器丢弃来自明显攻击源的数据包；
  • 更积极地超时半开连接；
  • 丢弃欺骗性或畸形的包裹；
  • 设置较低的 SYN、ICMP 和 UDP 洪水丢弃阈值；
• 保持新鲜。始终将您的软件更新到最新版本。它不仅可以保护您免受错误和漏洞利用，还可以帮助您避免 DDoS 攻击。例如，一些较旧的软件允许无限制的 ping-back，但没有设置限制的选项。
• 查看您的 DNS 区域。我们通常会忘记简单的事情。确保您没有运行过时软件的测试域或废弃子域。查看是否有错误添加的A记录。审核您的 DNS 区域、CNAME 和 MX 记录，以确保一切都按照您的预期进行了设置。
• 隐藏您的 BIND 版本。黑客通常通过运行针对特定版本网络软件的脚本来找到他们的目标。攻击者可以通过运行如下简单查询轻松获取您的 DNS 服务器版本：dig @ns1.server.com -c CH -t txt version.bind您可以通过编辑/ets/named.conf文件隐藏您的 BIND 版本。找到options配置块并更改version "BIND";为您选择的单词。例如version "Unknown";保存文件并重新启动 BIND 以应用更改。
• 禁用 DNS 递归。DNS 缓存中毒是最常见的 DNS 攻击之一。当在中间发起欺骗攻击时会发生这种情况，将信息提供给未经 DNS 来源授权的 DNS 服务器。这种漏洞允许流量从一台主机重定向到另一台主机。不过，您可以轻松避免这种情况。要禁用 DNS 递归，请在文件内的options配置块中添加以下行named.conf：

  allow-transfer {“none”;};
  allow-recursion {“none”;};
  recursion no;
  

  重新启动 BIND 以应用更改。

• 使用第 3 方 DDoS 缓解提供商。如果您遇到大量攻击而无法自行应对，则应寻求 DDoS 防护专家的帮助。Cloudflare、Imperva和CloudLayar等多家知名提供商以低价提供基本的 DDoS 保护包。如果您遇到了严重的麻烦，请致电他们的支持并要求进行系统审核以发现任何其他漏洞。请记住，虽然基本套餐几乎不花钱，但高级 DDoS 保护并不便宜。

结论

随着越来越多的方法可用于在 Internet 上查找易受攻击的系统，黑客们每天都在进步。尽管如此，现在有很多方法可以保护您的业务并避免任何 DDoS 攻击。不要犹豫，提前采取预防措施，晚上就会睡个好觉。