儘管大型網站經常受到攻擊,並且在超負荷的負載下,這些公司和網路仍然要竭盡所能地去轉移這些攻擊,而且重要是要保持他們的網站能夠正常地瀏覽。即便您管理的是一個小站點,比如小公司或者小型網站這種規模的網路,您不知道什麼時候就有人會對您下黑手。那麼接下來,讓我們 WordPress 網站建設公司帶您去看看 DDOS” 背後” 的一些細節和攻擊方式,以便於我們能夠讓我們的網路更加地安全。多種攻擊型別用 PING 命令就可以執行操作 ICMP 請求,這個請求非常容易造成網路堵塞。 DDOS 攻擊可以透過多種途徑來完成,ICMP 也只是其中之一。此外,有一種 Syn 攻擊,發動這種攻擊時,實際上僅僅是開啟了一個 TCP 連結,之後通常會連線到一個網站上,但關鍵是,這個操作並沒有完成初始握手,就離開了掛靠的伺服器。

另一種聰明的做法是使用 DNS 。有很多網路供應商都有自己的 DNS 伺服器,而且允許任何人進行查詢,甚至有些人都不是他們的客戶。並且一般 DNS 都使用 UDP,UDP 是一種無連線的傳輸層協議。有了以上兩個條件作為基礎,那些攻擊者就非常容易發動一場拒絕服務攻擊。所有攻擊者要做的就是找到一個開放的 DNS 解析器,製作一個虛擬 UDP 資料包並偽造一個地址,對著目標網站將其傳送到 DNS 伺服器上面。當伺服器接收到攻擊者傳送的請求,將會信以為真,並且向偽造地址傳送請求回應。事實上是目標網站接收了網際網路上一群開放的 DNS 解析器的請求與回覆,從而代替了殭屍網路的攻擊。另外,這類攻擊具有非常大的伸縮性,因為您可以給 DNS 伺服器傳送一種 UDP 資料包,請求某一側的轉存,造成一個大流量的回應。 DDOS 攻擊的多種途徑拒絕服務曾經是一種非常簡單的攻擊方式。有些人開始在他們的電腦上執行 PING 命令,鎖定目標地址,讓其高速運轉,試圖向另一端傳送洪水般的 ICMP 請求指令或者資料包。當然,因為這邊傳送速度的改變,攻擊者需要一個比對方站點更大的頻寬。先,他們會搬到有大型主機的地方,類似有大學伺服器或者教研所那樣的大型頻寬的地方,然後從這裡發出攻擊。但現代的殭屍網路在任何情況下幾乎都能使用,相對來說它的操作更簡單,使攻擊完全分佈開來,顯得更加隱蔽。事實上,因為惡意軟體的製造者,殭屍網路的運營已經成為了一條鮮明的產業鏈。實際他們已經開始出租那些肉機,並且按小時收費。如果有人想要搞垮一個網站,只要給這些攻擊者付夠錢,然後就會有成千上萬的殭屍電腦去攻擊那個網站。一臺受感染的電腦或許無法把一個站點搞垮,但若是有 10000 臺以上的電腦同時傳送請求,它們會將把未受保護的伺服器” 塞滿” 。如何保護您的網路正如您所見,DDOS 攻擊五花八門,防不勝防,當您想建立一個防禦系統對抗 DDOS 的時候,您需要掌握這些攻擊的變異形態。笨的防禦方法,就是花大價錢買更大的頻寬。拒絕服務就像個遊戲一樣。如果您使用 10000 個系統傳送 1Mbps 的流量,那就意味著您輸送給您的伺服器每秒鐘 10Gb 的資料流量。這就會造成擁堵。這種情況下,同樣的規則適用於正常的冗餘。這時,您就需要更多的伺服器,遍佈各地的資料中心,和更好的負載均衡服務了。將流量分散到多個伺服器上,幫助您進行流量均衡,更大的頻寬能夠幫您應對各種大流量的問題。但現代的 DDOS 攻擊越來越瘋狂,需要的頻寬越來越大,您的財政狀況根本不允許您投入更多的資金。另外,絕大多數的時候,您的網站並不是主要攻擊目標,很多管理員都忘了這一點。

網路中關鍵的一塊就是 DNS 伺服器。將 DNS 解析器處於開放狀態這是絕對不可取的,您應當把它鎖定,從而減少一部分攻擊風險。但這樣做了以後,我們的伺服器就安全了嗎?答案當然是否定的,即使您的網站,沒有一個可以連結到您的 DNS 伺服器,幫您解析域名,這同樣是非常糟糕的事情。大多數完成註冊的域名需要兩個 DNS 伺服器,但這遠遠不夠。您要確保您的 DNS 伺服器以及您的網站和其他資源都處於負載均衡的保護狀態下。您也可以使用一些公司提供的冗餘 DNS 。比如,有很多人使用內容分發網路 (分散式的狀態) 給客戶傳送檔案,這是一種很好的抵禦 DDOS 攻擊的方法。若您需要,也有很多公司提供了這種增強 DNS 的保護措施。若是您自己管理您的網路和資料,那麼就需要著重保護您的網路層,要進行很多配置。先確保您所有的路由器都能夠遮蔽垃圾資料包,剔除掉一些不用的協議,比如 ICMP 這種的。然後設定好防火牆。很顯然,您的網站永遠不會讓隨機 DNS 伺服器進行訪問,所以沒有必要允許 UDP 53 埠的資料包透過您的伺服器。此外,您可以讓您的供應商幫您進行一些邊界網路的設定,阻止一些沒用的流量,保證您能夠得到一個大的通暢的頻寬。很多網路供應商都給企業提供這種服務,您可以與其網路運營中心聯絡,讓他們幫您最佳化流量,幫您監測一下您是否到了攻擊。類似 Syn 的攻擊,也有很多方法來阻止,比如透過給 TCP 積壓,減少 Syn-Receive 定時器,或者使用 Syn 快取等等。後,您還得想想如何在這些攻擊到達您網站前就將它們攔截住。例如,現代網站應用了許多動態資源。在受到攻擊的時候其實頻寬是比較容易掌控的,但終往往受到損失的是資料庫或是您執行的指令碼程式。您可以考慮使用快取伺服器提供儘可能多的靜態內容,還要快速用靜態資源取代動態資源並確保檢測系統正常執行。糟糕的一種情況就是您的網路或站點完全癱瘓了,您應該在攻擊剛剛開始的時候就做好預備方案。因為攻擊一旦開始,想要從源頭阻止 DDOS 是非常困難的。後,您應該好好琢磨琢磨如何讓您的基礎建設更加合理與安全,並且要著重注意您的網路設定。這些都是非常重要的。以上就是我們 WordPress 網站建設公司教您的如何應對 DDOS 的攻擊的方法,看完以上的內容您是不是對如何應對 DDOS 的攻擊已經有了一定的瞭解了呢?