如何防御 DDoS 攻击? 网站被DDOS攻击怎么办

网站被DDOS攻击怎么办 如何防御 DDoS 攻击?

缓解 DDoS 攻击的关键问题是区分攻击流量和正常流量。例如,如果某个产品发布的公司网站挤满了热切的客户,那么切断所有流量就是一个错误。但如果该公司的突然流量来自已知的不良行为者,则可能有必要采取措施减轻攻击。困难在于,很难区分真正的客户流量和攻击流量。

在现代 Internet 中,DDoS 流量以多种形式出现。流量在设计上可能有所不同,从非欺骗性单源攻击到复杂的自适应多方位攻击无所不有。多媒介 DDoS 攻击使用多种攻击途径,以不同的方式使目标不堪重负,并且可以分散任何一条轨道上的缓解工作。同时针对协议栈的多个层次,例如 DNS 放大(针对第 3/4 层)与 HTTP 洪水(针对第 7 层)结合攻击,就是多媒介 DDoS 攻击的一种。

防护多媒介 DDoS 攻击需要多种策略来应对不同的轨道。一般而言,攻击越复杂,流量就越难与正常流量区分 - 攻击者的目标是尽可能深入地混淆,从而降低防护效率。如果在防护时不加选择地丢弃或限制流量,可能会将正常流量一起丢弃,而攻击也可能会更改和调整以规避对策。为克服复杂的破坏手段,采用分层解决方案效果最理想。

黑洞路由

几乎所有网络管理员都可以使用的解决方案是创建黑洞路由,并将流量汇入该路由。在最简单的形式下,当在没有特定限制条件的情况下实施黑洞筛选时,合法网络流量和恶意网络流量都将路由到空路由或黑洞,并从网络中丢弃。如果 Internet 设备遭受 DDoS 攻击,则该设备的 Internet 服务提供商 (ISP) 可能会将站点的所有流量发送到黑洞中作为防御。

Rate Limiting

限制服务器在特定时间范围内接受的请求数也是防护拒绝服务攻击的一种方法。虽然速率限制有助于减慢 Web 爬虫窃取内容的速度,并有助于防护暴力攻击登录尝试,但仅靠速率限制可能不足以有效地处理复杂的 DDoS 攻击。尽管如此,速率限制仍然是有效的 DDoS 防护策略中的有用组成部分。了解 Cloudflare 的速率限制

Web Application Firewall

Web 应用程序防火墙 (WAF) 是可帮助防护第 7 层 DDoS 攻击的工具。通过将 WAF 放在 Internet 和源站之间,WAF 可以充当反向代理,保护目标服务器免受某些类型的恶意流量的侵害。通过基于一系列用于识别 DDoS 工具的规则筛选请求,可以阻止第 7 层攻击。有效的 WAF 的一个关键价值是能够快速实施自定义规则以应对攻击。了解 Cloudflare 的 WAF

Anycast Network 扩散

这种防护方法使用 Anycast 网络将攻击流量分散到分布式服务器网络中,直至网络吸收流量。这种方法就好比将湍急的河流引入若干独立的小水渠,将分布式攻击流量的影响分散到可以管理的位置,从而分散破坏力。