早在2013年,Google已经发布一项名为Project Shield的项目,让网站管理员可以升级网站的技术和架构,加强其对抗DDoS攻击的能力。而今,这个项目终于正式上线,作为免费的DDoS拦截服务向公众开放。
Project Shield能够通过该公司的基础设施来重定向这些流量,以防止其对网站造成难以抗衡的影响。这款工具也是Google Ideas的一部分(最近刚被重命名为Jigsaw),而其复杂且互补性的“数字攻击地图”则提供了直观而强烈的视觉冲击。
坊间传闻,某发布网站使用了google cdn的服务,能承受300G的DDoS攻击而毫发无损。当然,Google是不保证您的网站在遭受每次DDOS攻击都能正常运作的。
DDoS是一种在互联网地下非常常见的攻击方式,可以称作黑客入门的基础技巧。其所到之处动辄网站失联、服务瘫痪,造成巨大的恶劣影响,原因在于它简单直接,直接攻击在底层连接上。
那么,什么是DDoS呢?其实,DDoS(分布式拒绝攻击)借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。
这种攻击方式可分为以下几种:
1.通过使网络过载来干扰甚至阻断正常的网络通讯;
2.通过向服务器提交大量请求,使服务器超负荷;
3.阻断某一用户访问服务器;
4.阻断某服务与特定系统或个人的通讯。
防御方法:
其实,针对大规模的DDoS攻击,目前并没有系统性的防御方法,也就是说完全杜绝DDoS在目前讲是不太可能的,但是通过适当的方法可以抵御90%的攻击。除了使用谷歌推出的Project Shield服务,也可以采取一些针对性方法,比如:
尽量避免NAT的使用,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,采用此技术会较大降低网络通信能力。
定期升级硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,在其中起关键作用的主要是CPU和内存。
及时打系统补丁,计算机紧急响应协调中心发现,几乎每个受到DDos攻击的系统都没有及时打上补丁。
定期进行安全检查,限制在防火墙外与网络文件共享。系统管理员及时检查所有网络设备和主机/服务器系统的日志。如果日志出现漏洞或者日期变更,则几乎可以肯定是主机安全受到了威胁。
对于流量在100G以上的攻击是可以立案的,在海量的攻击中,寻找倒推的线索,找出可能是C&C服务器的IP或相关域名等,通过法律手段维护自己的权益。
