< 返回新闻公共列表

网络DDoS攻击就那么回事儿?扒一扒网络攻防那些常用的兵法!

发布时间:2020-04-09 17:46:36

凡事预则立,不立则废。网络攻防这场战役从上世纪70年代初就开打,无止无休,激战盛酣,敌人强劲我们也不甘落后。初期死伤惨重,士气大跌,但通过部署一系列的防卫工事,安插岗哨提前预警,部署虚假IP和地址池战壕,敌军进犯时最短时间内还击迎击,而今敌方套路被我方侦知破获。通过总结作战经验,文之以书,拟得攻防兵法简要虽不全面,但碍于战事紧张先分享给大家:

 

有人逃跑丢盔卸甲,有人逃跑却是能把敌人气的牙痒痒,因此在三十六计中,逃跑也是一门大学问。金蝉脱壳此计语出自《元曲选·朱砂担》第一折。它的原意指金蝉变为成虫时,要脱去幼虫的壳。比喻留下表面现象,实际上却脱身逃走。军事上指留下虚假的外形来稳住敌人,自己暗中脱身而去,离开险境。金蝉脱壳,是一种走而示之不走的策略。


DDoS攻防的矛盾之争,难有结论。DDoS攻击流量不断刷新记录,CC攻击花样层出不穷,但也总有防御厂家可以挡下来。除了不断加高自身的防御能力,加强攻击清洗技术外,还有很多相对简单的防护补充手段。

 

策略一:

狡兔三窟:多源站动态回源同步。设置多源站,源站间动态回源。源站当然要选择异地,不仅仅可以防DDoS, 更可以防天灾。尤其源站分布不同的地区,这样哪怕台风来了,地震来了,也很难同时摧毁两地,造成线路故障,机房故障。

图片2.jpg

 

策略二:

金蝉脱壳:面对DDoS攻击,启用临时入口。能把敌人气牙痒痒。千军万马兵临城下,一顿猛攻,无数弹药倾盘而下,却发现面前是一座空城。这个战术也不难实现,购置一些小的节点,作为临时入口,只有在面对攻击时才启用,尤其适合一些刚起步的团队和app应用。

根据观察到的经验,有部分深思熟虑的团队,有针对不同等级的类型的用户进行特别关照,譬如高等级的高附加值用户,在专用节点A进入,其他用户通过普通节点进入。

 

图片3.jpg

 

策略三:

图片5.jpg

DDoS攻击之所以能轻易击溃很多网站,很大部分原因是流量只有一个或者少量的入口。如果无法预判DDoS的规模,所有流量都会通到一个地方去,那网站崩掉只是时间问题。所以还是要从根本上解决问题,釜底抽薪,其策略巧如大禹治水,宜疏不宜堵:用户分组,分区解析。DDoS攻击犹如洪水缺堤,分散攻击流向。

不同的肉鸡不会只集中在单一运营商中,会分布在移动、电信、联通上面,如果把不同运营商的用户分开解析就可以分散攻击流量,譬如移动用户解析到杭州高防节点,联通解析到山东高防节点,电信解析到广州高防节点这样。自然而然就可以分散攻击流量。这样一般不会有几个人有这么大的仇恨和有这样的实力把所有节点打趴。

除了可以根据运营商进行分区解析,还可以根据不同地区进行分区解析,譬如华北地区解析到北京,华中地区解析到武汉,华南地区解析到深圳。

 

建议:

DDoS攻防最高境界 --- 不战而屈人之兵。

其实DDoS攻击的成本虽然不断降低,但是攻击难度有不断提升,对技巧的需求也是不断攀升。最常遇到的初阶、中阶DDoS弓手,面对一些难搞的防御厂家,也是早早放弃。技艺高超,存量丰富的高阶DDoS弓手其实寥寥无几。先不说,高阶弓手不好找,收费也是昂贵,什么仇什么怨,请弓手的人也不一定愿意掏钱。倒不如找一些闪着金光的防御厂家,基本上可以让初阶、中阶弓手绕道。诚然,而更高端的防御方案,可以混合多家防御厂商的节点防御,一次拥有多家防御策略,而且通常比单独购买还要实惠。事半功倍,何乐而不为乎?

 

图片6.jpg

 

总结:

在危机四伏的网络中,抵抗攻击还是要靠不断加强自身的防御能力和策略。DDoS攻击犹如泛滥的滔天洪水,并不是不断加高堤坝的高度就可以解决的。是一套整体的防御策略,一边要堵,一边要疏通,一边要闪避,这样才可以高效的抵挡住攻击。


亚洲云海Myasiacloud專業定制服務器-防禦-加速客制化方案,为您推荐最合适的防御方案策略,爲您的業務保駕護航。更多特惠请找到云海特惠


/template/Home/Zkeys2/PC/Static