在安全圈,DDoS是众所周知的。自从DDoS诞生以来,无数网络安全工程师对其深恶痛绝,谷歌、亚马逊等技术实力雄厚的巨头公司也无法避免DDoS攻击。可以说,DDoS是目前最强大、最难防御的攻击之一。这是一个世界级的问题,除了缓解没有其他解决方案。我们不禁要问为什么DDoS攻击无解?是技术水平不够,还是其他原因?无解DDoSDoS的原理其实并不复杂。它使用大量的机器人模仿真实用户的行为来耗尽目标服务器的资源。最终无法为用户提供服务。就好像一群流氓来到一家火锅店,他们只占座位,不点餐,导致正常顾客没有座位,不能点餐,火锅店也开不了通常情况下。下面举个例子来理解为什么DDoS无法解决。CC攻击是DDoS的一种,攻击者会使用代理服务器生成受害主机的合法请求。相信大家都有过这样的经历。某网站或APP在做秒杀、限时活动、抢购活动时,访问量突然增加,导致页面打开缓慢。如果人数超过服务器负载,页面可能根本打不开。打开。攻击者发起CC攻击的结果和上面的例子完全一样。对于防御者来说,很难区分谁是真正的用户,谁是攻击者的机器人。敌人不知道自己是谁,更别说发动攻击了。成本是一个缺陷。DDoS攻击虽然无法解决,但可以通过一些技术手段来缓解或提高攻击门槛。防御者的成本主要来自DDoS云清洗、高防CDN等云防护产品的采购、所用技术手段的人工成本、硬件设备的采购成本等。同样,当攻击者发起DDoS攻击时,也需要付出相应的成本,比如时间成本、购买bot的成本、购买0day等漏洞的成本、编写或??购买DDoS程序的成本,甚至委托第三方发起DDoS攻击。所需费用等。防守者的防守越完善,成本就越高。同样,如果攻击者想要发动更大规模的攻击,成本也会更高。如果攻击者想要发起攻击,其成本高于攻击带来的收益,那么DDoS是不会发起的。反之,如果成本合适,攻击者就会发起攻击并享受攻击带来的好处。虽然目前还没有缓解DDoSDoS攻击的解决方案,但是可以通过各种手段来缓解和预防,或者是打消攻击者发起DDoS攻击的意图,或者是降低攻击者“入不敷出”的预期收益。》常用的方法有以下几种:(1)使用高性能的网络设备,保证路由器、交换机、硬件防火墙等网络设备的性能,当DDoS发生时,有足够的性能和能力与之对抗。(2)定期排查服务器系统漏洞使用最新系统,及时打安全补丁,删除不用的服务,关闭不用的端口,降低黑客利用漏洞发起DDoS攻击的风险。(3)足够的网络带宽保证网络带宽大小,直接决定了抗DDoS的能力,但一般来说,其他技术手段和方法比增加带宽更有效,成本也更低。(4)部署CDNCDN可以将网站内容分发到多台服务器上,用户可以访问附近,不仅可以提升用户体验,还可以作为防御DDoS的辅助手段。(5)使用专业的安全防护节选产品专业的防D产品可以帮助网站过滤异常流量,即使正在进行DDoS攻击,公司业务也可以正常进行,不受影响。后记还是成本问题。DDoS不会一直发生。如果黑客有更好的手段达到瘫痪的目的,他们就会使用更好的方法。很多网站可能存在性能bug,几个简单的请求数据库系统就会瘫痪;很多系统都会有网络规划和配置的bug,几个简单的数据包就可能让整个网络瘫痪;即使机房防护不严,或者存在漏洞,攻击者直接潜入机房关掉电源,也会导致公司整体业务瘫痪。能装多少水,不取决于桶最高的那块板,而是取决于最低的那块板。网站和应用程序是否安全是一样的。除了使用一些手段来防御DDoS攻击之外,还应该注意其他方面的安全,做到全面防御。
