微信号:Gcloudyun

介绍:专注游戏运营十五年,提供的不止是技术服务 G云是以盛大游戏15年支撑经验为基础,经过几百款游戏锤炼打造而成的定制云平台; 拥有20个骨干机房、近万台各种配置的备用服务器,满足你不同的需求; 提供稳定、可靠、高效、灵活的服务。

科普:浅谈DDoS那些事儿@盛大游戏安全部负责人

2016-04-05 10:13 盛大游戏 杨如意

嘉宾和主题介绍


杨如意  盛大游戏安全实验室负责人   G云首席安全架构师


主题介绍:

各公司以及云平台常见的攻击形式——DDoS的介绍浅谈

进行专题性的剖析DDoS,让各位的云平台在日后能够更好的建设与防护,保 障云业务的安全稳定。

精彩内容



相约今晚<浅谈DDoS那些事儿>,我们准时开始。

大家好,我是今晚嘉宾,杨如意,盛大游戏安全部负责人,G云首席安全架构师。本次演讲嘉宾非虚拟化、非云业务、非运维人员,为互联网资深信息安全,从事信息安全攻防相关工作十年余,白帽子,在上海三零卫士、绿盟科技曾任职安全岗位。目前就职于上海盛大游戏,负责盛大游戏与G云有关的信息安全工作,本次将从攻击与防护者的视角带各位了解日常虚拟化、云业务、运维等工作中常见的攻击手段——DDoS攻击。


本次分享题目:《浅谈DDoS那些事儿》

分享内容大纲:

A 关于DDoS

A.1 什么是DDoS

A.2 DDoS能做什么事

B 浅谈DDoS

B.1 应用型DDoS

B.2 流量型DDoS

B.3 应用DoS

B.4 关于DDoS的那些传说

C 如何防护DDoS

C.1 应用型DDoS防护

C.2 流量型DDoS防护

C.3 应用DoS防护

D 结束语

E 互动环节


接下来,我们正式开始

A 关于DDoS

这是信息引领社会前进的时代,这是互联网+的时代

在现在的环境下互联网各项业务蓬勃发展,预示着各种美好的未来

我们做业务的、运维的、支持的都憧憬着美好的明天

各种网站、业务系统、移动互联网应用、以及各种平台(云平台等)犹如雨后春笋般涌现

 

根据资料显示,2005年-2014年互联网普及率以及网民数量逐年攀升

根据CNNIC 2014年12月的统计数据

2005年网民数11100万人

2005年互联网普及率8.5%

而2014年网民数已64875万人

2014年互联网普及率47.9%

如图所示*配图1



这组数据说明什么?

说明走在大街上10个人中至少有5个人都使用互联网,互联网如此普及到千家万户。

我们再来一组数据

如图所示*配图2

 

 

2010年-2015年全球云计算市场规模示意图

从这组数据中可以看到云计算机业务的逐年发展上升的曲线

群里的各位都是做云计算机或云计算相关业务的,相信这组数据应该比我更了解更清楚

两组数据可说明互联网发展下对云计算业务的需求,以及互联网应用的需求

可是,理想是丰满的,现实是骨感的

DDoS攻击,就是所有互联网从业者都绕不开的拦路虎

如图所示*配图3


2016.1,英国广播公司(BBC)网站遭受New World Hacking的黑客组织602Gbps的DDoS攻击,陷入瘫痪

我相信群内的各位日常工作当中,或多或少都接触过或遭受过DDoS的亲密行为,今天我们就聊聊这个让我们烦恼的DDoS。

A.1 什么是DDoS

Distributed Denial of Service简称DDoS

译中文分布式拒绝服务

DDoS攻击(分布式拒绝服务攻击):

指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。

代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

 

太复杂了,简单点的


 

数量庞大的僵尸程序(Bot)通过一定方式组合,出于恶意目的,采用一对多的方式进行控制的大型网络,也可以说是一种复合性攻击方式

僵尸网络具备高可控性,控制者可以在发布指令之后,就断开与僵尸网络的连接,而控制指令会自动在僵尸程序间传播执行

似乎

还是大段文字

再简单点的,QQ群嘛,咱来点动态图,直观又调节气氛

动态图演示SYN-Flood

 

正常的包,三次握手



高频率的 syn发包

服务器端有些应接不暇了



服务器端终于无法忍受

开始罢工了



这个时候

即时有正常的包来

服务器也无法响应了

达到了拒绝服务的目的

(请仔细观看异常包和正常包的差别

墨镜的黑色帝国形式异常包)

大家 在脑海中对DDoS 逐步有了个大概的了解了吧

接下来


A.2 DDoS能做什么事

 

大家对DDoS多少有了个了解,即可以形容为各地的坏人或各地被控制的人组成团伙,进行团伙式作案攻击某个或某几个目标

那么DDoS能做什么呢?对我们的业务,以及我们的云会有什么影响呢

一些关于DDoS的事件案例



【汇丰银行网上银行遭遇DDoS攻击被迫下线】汇丰银行的网上银行今天遭遇DDos攻击,导致网站服务脱机,目前尚不清楚谁对这起攻击负责。这次袭击意味着用户无法在线访问他们的账户,这是对知名网站发动高调攻击当中的最新一起攻击。


【匿名者(Anonymous)向土耳其根域名服务器发起ddos攻击】NIC.tr是土耳其主要DNS服务器及其.tr域名行政管理机构。tr域名为土耳其国家顶级域名后缀。日前,黑客组织匿名者(Anonymous)宣布自己就是这起网络攻击事件的发起人,并表示该攻击跟反ISIS组织相关。


【2015数据中心宕机20%是由DDoS攻击引起】大多数数据中心宕机是由错误的UPS(不间断电源)设备引发,占所有事故数量的25%,紧随其后的是DDoS攻击,占22%,DDos攻击数量在过去几年稳步增长,在2013年DDos攻击只占数据中心宕机次数的18%,而2010年只有4%。

 

可以以正常访问的形式形成DDoS,可以以流量形式形成DDoS,可以攻击网站、业务系统、服务器端口、服务器不存在的端口甚至不存在的ip、可以让互联网基础设施故障。

如图所示案例 A2-利用DDoS敲诈勒索比特币

 


背景信息铺垫完毕

逐步进入今天的主题模式。

B 浅谈DDoS

前面向大家简单的说了一下DDoS能够做哪些坏事,接下来向大家介绍一下DDoS的类型,遭受攻击后的形式,目前主流攻击的方式等等

首先,先介绍一下应用型DDoS


这类攻击利用了诸如TCP或是HTTP协议的某些特征,通过持续占用有限的资源,从而达到阻止目标设备无法处理处理正常访问请求的目的,比如CC攻击就是该类型的攻击。


应用型顾名思义,OSI互连参考模型中第七层即应用层,即对这个层面开展DDoS攻击,那么常见的攻击或者表现方式是什么呢


主要为CC和连接耗尽,也有不同安全厂商会分门别类出传奇BOT等等的小分类,在如今的攻击环境下,这些已经都被遗弃忽略


如图所示 

5w多个肉鸡组队刷CC的效果,建连接且消耗带宽


名词术语

cc攻击 | CC攻击 CC = Challenge Collapsar[英汉译:挑战黑洞;注:黑洞最初为绿盟科技DDoS防护产品的名称,2009年改成ADS,但黑洞名词延续使用,后面讲到小故事],其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的, CC攻击是DDOS(分布式拒绝服务)的一种,相比其它的DDOS攻击CC似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。


CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这 样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是 需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。


Connection Flood。称为连接耗尽攻击,顾名思义就是将服务器上可用的连接数占满直至无法正常响应。与其他的攻击方式不同的是,连接耗尽攻击使用真实的IP地址与服务器建立连接。攻击者操控了大量的傀儡主机或者使用代理服务器来发起大规模的连接。当连接数达到一定规模,超过了服务器的能力时,正常的连接请求将无法建立。通过不断地与服务器建立大量的连接,最终服务器的内存资源将被耗尽。


连接耗尽 不停的新建连接,致使服务器连接建立达到上限,即服务器无法未正常的用户再提供访问功能。



如图所示*B1-DDoS购买便利性-1 目前DDoS攻击便利性价格低廉,购买容易,追溯取证较难,解决费用不菲。


接下来介绍

B.2流量型DDoS

这类DDoS攻击通过发出海量数据包,造成设备负载过高,最终导致网络带宽或是设备资源耗尽。通常,被攻击的路由器、服务器和防火墙的处理资源都是有限的,攻击负载之下它们就无法处理正常的合法访问,导致服务拒绝。


常见的如SYN Flood、ACK Flood、ICMP Flood、UDP Flood、以及混合攻击(上述几种的混合)


这类攻击典型的特征就是消耗带宽,追溯难,发动一次攻击简单且低廉,百元的价格可以购买上G攻击,甚至可打不存在的ip或端口(比如UDP Flood)



如图所示 B.2 流量型攻击的频繁性

如上图所示,绿色柱线为流量型攻击,达20G,右下角为月度视图,可见攻击的频繁度


这类攻击非常非常频繁普遍,今年来尤其以NTP反射放大攻击凸显,通过互联网上NTP服务器漏洞发送少量的包可回复数倍的流量达到攻击的效果。


名词术语

NTP 是网络时间协议(Network Time Protocol)的简称,干嘛用的呢?就是

通过网络协议使计算机之前的时间同步化。


放大攻击呢就是一次小的请求包最终会收到一个或者多个多于请求包许多倍的响应包,这样就达到了四两拨千斤的效果。


NTP 包含一个 monlist 功能,也被成为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包。


通过计算基本可以达到这样的效果, 如果单纯按照这个数据我们可以计算出放大的倍数是:482*100/234 = 206 倍。免费达到以少获多的DDoS流量攻击的效果。


插播题外话

题外话——加固NTP

1. 把 NTP 服务器升级到 4.2.7p26

2. 关闭现在 NTP 服务的 monlist 功能,在ntp.conf配置文件中增加`disable monitor`选项

3. 可以的话可在网络出口封禁 UDP 123 端口。


接下来介绍

B.3 应用DoS

Dos,即拒绝服务,各种应用也存在这类漏洞隐患,有本地拒绝服务漏洞,还有远程拒绝服务漏洞之分


应用包含日常各种应用系统,比如云行业所熟悉的VMware,Apache,甚至Android也同样存在拒绝服务漏洞。


不做过多篇幅展开,仅使用VMware 举个例子

大家都是做云服务的,比如某个Vmware exsi 宿主机对公网或者内网开放443端口。

 

 

如图所示 B.3-1 VMware版本

 

恰好 这个版本存在隐患,ssl 版本过低存在协商漏洞 构造特殊数据包可引起拒绝服务。

通过工具发送特定的拒绝服务畸形包。


如图所示 B.3-2 发送拒绝服务特殊包

 

会达到什么样子的效果呢?

应用无法打开,产生拒绝服务,同时服务器CPU达到100%,对宿主机内的所有虚拟机都存在拒绝服务影响。

 


如图 B.3-3 效果1页面无法打开


如图 B.3-4 服务器(宿主机)CPU使用率高达100%

漏洞分析:

这个攻击方式的本质是消耗服务器的CPU资源,在协商加密算法的时候服务器CPU的开销是客户端的15倍左右。而Renegotiating机制让攻击者可以在一个TCP连接中不停的快速重新协商。它不需要任何带宽,只需要一台执行单一攻击的电脑。漏洞存在于协议的renegotiation 过程中,renegotiation 被用于浏览器到服务器之间的验证。网站可以在不启用 renegotiation 进程的情况下使用 HTTPS,但很多网站仍然默认启用 renegotiation。


B4.关于DDoS的那些传说

DDoS本身就是一个进攻与防御的体现,作为最古老最有效的手段,这个其中当然少不了一些传说


前面和大家提到过CC,CC = Challenge Collapsar,即挑战黑洞,即挑战绿盟的黑洞


这个里面有哪些传说呢,很久很久以前“传说一般都是以很久很久以前 开始的”。


在2005年之前,国家尚无打击黑产的相关法律,基本上大一点的网站站长都受到过网络黑产团伙的敲诈勒索,资深互联网从业者都不会忘记那段岁月。


乱世出英雄,这时候有一家叫做Nsfcous的中国公司崛起于阡陌之中。其自主研发的产品“黑洞”能够对抗当时黑产团伙敲诈勒索的各种攻击方式,一时间洛阳纸贵,各大运营商和站长为之折腰。“黑洞”产品有个美丽的英文名字Collapsar。


十年前一个阳光明媚的午后,一个才华横溢的少年Qaker怀揣着敬仰和极度兴奋的心情来到Nsfcous北京总部参加面试。Qaker当时在一些互联网黑客社区初露峥嵘,Collapsar之父y博士亲自邀请他来面谈,希望他能够加入到Collapsar研发团队中,共同对抗网络黑势力。然而当天y博士临时由于其他事情,错过了Qaker的面试。在等待了半天之后,Qaker觉得自己被Nsfcous无视了,他怀着极度失落甚至有些愤怒的心情离开了Nsfcous。


在此之后,Qaker再也没有去Nsfcous,而是埋头研究Collapsar的防护算法,并在很短的事件内找到了击败Collapsar的方式。Qaker将之做成工具发布到互联网黑客社区,并命名Challenge Collapsar(挑战黑洞),这就是我们今天耳熟能详的CC攻击。CC攻击的可怕之处在于,黑客可以用极低的成本模拟大量的虚假用户象潮水一般涌向网站,而网站真实的用户则完全被堵在外面无法进来。通过CC攻击方式模拟的虚假用户,几乎和真实用户行为完全一致,很难通过算法加以识别。




 

这种攻击不出意外的被黑产团伙迅速使用到网络敲诈中,刚刚安定下来的互联网又陷入混乱和恐惧中。一段时间后,Nsfcous在y博士的带领下找到了一些新的办法应对这种攻击的,Qaker也后悔自己的冲动并开源了他自己的一些防护算法。然而这些努力都只能一定程度上缓解CC攻击,并不能完全防御住。Qaker在发布CC攻击时一定没有想到会有这么大的影响,更没有想到这会给中国乃至世界的互联网安全带来长达十年的困扰。


故事的主人公,Qaker后来远走澳洲,y博士目前仍然在Nsfcous带领着研发团队继续对抗互联网黑产。y博士本是一个非常平易近人的技术大师,当天的事情确实事出有因。生活中总是有太多的意外,如果他们当天没有错过,也许会开始一段美好的故事,也许……


上述传说为公司内流传甚广的故事,(我曾经在绿盟科技任职,所以 略了解)。


接下来是

防护部分

C 如何防护DDoS


前面讲述了各种常见的DDoS攻击方式与类型,接下来给大家介绍一下如何防护或如何减轻攻击所带来的压力。


C.1 应用型DDoS防护

针对应用型的DDoS防护可选择如下方式


1、DDoS防护硬件设备,例如相关厂商绿盟科技ADS、中新金盾、华为

适用场景,自有机房,自有核心网络设备,串联或旁路或集群接入进行防护

优点:自己掌握控制防护需求,防护设备自主化


2、安全服务,例如中国电信云堤、阿里云盾、腾讯大禹、各类云安全防护(360云安全、安全宝、知道创宇等等)。


以电信云堤举例子,

主要功能包括攻击检测、攻击防护和分析溯源,

中国电信占优绝对优势,突出特点:

· 全网覆盖(含电信海外网络)

· 对大攻击流量的全面客观测度

· 近源防护,并可区分攻击来向的流量压制,防护能力上不封顶

· 全网1T的清洗容量

· 基于BGP anycast技术的近源攻击流量牵引,秒级防护生效;覆盖全网的准确攻击溯源

· 用户零操作,零设备部署

以电信云堤举栗子,

主要功能包括攻击检测、攻击防护和分析溯源,

中国电信占优绝对优势,突出特点:

· 全网覆盖(含电信海外网络)

· 对大攻击流量的全面客观测度

· 近源防护,并可区分攻击来向的流量压制,防护能力上不封顶

· 全网1T的清洗容量

· 基于BGP anycast技术的近源攻击流量牵引,秒级防护生效;覆盖全网的准确攻击溯源

· 用户零操作,零设备部署


各自的特点

中国电信云堤团队提供的运营商级的防护能力无疑在对抗超大流量攻击方面具备很强优势,全网监控、BGP牵引、近源清洗、秒级防护这些都是其他服务商难以企及的。


阿里云云盾依托阿里云基础设施,支持BGP和CDN两种引流,并在应用层DDOS方面独具优势,针对阿里云客户推出的高防服务备受好评。


腾讯大禹来自自身产品防护的长期实践,主要针对腾讯云的客户,在一些游戏或社交产品的攻击防护上优势明显。


绿盟ADS作为国内最大的抗D设备供应商,通过与各服务商的全面合作开展服务,也在开展自营的云安全运营服务,服务也更具灵活性。


360云安全主要通过CDN加速体系来提供抗D服务,并引入独有的恶意地址库、漏洞平台和样本库等,符合其“数据驱动安全”的总体思路。


云安全服务的主要优势:

便捷防护,简单的提供ip,或者通过修改服务器DNS,即可很方便的通过域名指向进行攻击清洗,从而达到防护的效果

 

3、其他方式缓解,应用配置优化、服务器性能优化、链路优化、CDN等

从应用、服务器、链路各环节进行优化,尽可能的最大化提供访问服务

只能相对缓解 ,且缓解相对有限。

 

C.2 流量型DDoS防护

针对流量型攻击的防护比较头疼,针对流量型的攻击,90%以上的云安全异地防护都无效,因为流量型攻击无法通过配置DNS的方式快速便捷的引流,流量型攻击受国情与运营商因素无法有效开展跨地域的引流(目前国内有其他方式在开始异地的测试,但需要具体环境的支持)


如果要进行流量型攻击防护,方式有如下几种

1、DDoS防护硬件设备,例如相关厂商绿盟科技ADS、中新金盾、华为

适用场景,自有机房,自有核心网络设备,串联或旁路或集群接入进行防护

优点:自己掌握控制防护需求,防护设备自主化

流量型攻击,在大多数的场景下,只能靠出口带宽和防护设备硬抗

当然,具体的得需要看业务场景。


2、使用云安全的自主机房,即使用云安全所提供的物理机、虚拟机,在云安全机房所覆盖的范围可以进行防护

云机房内,可以使用其带宽出口与防护设备。


3、除上述2种,暂无其他相对有效的方式

除上述的技术方面,还有行政手段,比如法律,可以进行报警,由警方进行解决,当然,首先你需要有充足的证据与资料

 

使用DDoS防护设备,还牵涉到很多细节,比如网络核心设备,ISP链路等等众多问题,

使用云服务的主机,需要硬件服务器或虚拟机兼容性、性能,甚至公网IP等等很多细节问题,在此不深入展开,有兴趣的可以私聊。

C.3 防护 综合而言

 

出口带宽

网络出口带宽直接决定了能抗受攻击的能力,假若仅仅有10M,20M的带宽,采取什么措施都很难对抗现在的SYN Flood攻击动辄最少几百M攻击。所以,最好选择100M以上带宽(独立或共享),当然如果是大型机房,当然是出口越大越好。


提高设备性能

须保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。


异常流量的清洗

通过DDoS硬件防护设备对异常流量的清洗过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常,进一步将异常流量禁止过滤。推荐购买或自己开发出口带宽流量的分析系统,对异常流量进行分析定位有着很好的帮助。


页面静态化

站点尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,最好在需要调用数据库的脚本中,拒绝使用代理的访问,经验表明,使用代理访问你网站的80%属于恶意行为。

 

分布式集群防御

在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDoS攻击,如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全执行决策。会牵涉到机房、带宽、运营商等等多方面的协调工作。


D 结束语

在 DDoS的攻防,不会有暂停键,更没有停止键,

只能靠进攻者与防御者之间斗智斗勇进行博弈。

说些题外话,多数DDoS攻击行为已由以前的单纯的泄愤或者炫耀,已经变成牟利获利的工具


市面上的DDoS攻击已越来越大,现在10G,20G的流量非常常见,且攻击的时常已由原来的长期攻击改变为瞬时攻击


比如打个2-5分钟的10G-20G攻击,目的不是为了打死,而是封IP,比打死更狠,IP的操作,还是由运营商或者云安全提供商所进行的行为,因为流量阀值到达基本点的上限,为保障整个机房或者整个所在云的稳定,需要封停当前被攻击的ip


这样,攻击者以小博大,获取了胜利了。

所以,防护DDoS并不是单一的仅仅认为大带宽大出口就可以解决的事项,是出口带宽、防护能力、ISP关系、异常流量监测、成本费用等等众多方面的综合而言。


E 互动环节

欢迎大家沟通交流,篇幅和形式有限,有些地方可能没有讲到或讲透

大家可以进行互动交流

顺便插播一句

G云,目前多地机房提供20G-80G(即将)的DDoS防护功能,每天都在线经受各种考验。

 


4QA环节


Q1怎么把攻击数据包返回发送源

答:前面介绍了很多铺垫环境,就因为DDoS形式很多,比较复杂,提问中的攻击数据包为流量型的or应用层的,返回数据源的方式均不同,流量型的如果有清洗设备,会被清洗干净,即去除掉攻击数据包,返回到目的地址只有干净的流量,如果是应用层的流量,则被限制,或分流或等待等多种方式。


Q2:“最好在需要调用数据库的脚本中,拒绝使用代理的访问”

答:抱歉。。。。不是数据库方面的专家,数据库方面的得找周三的那位。

 

Q3、DDOS溯源需要哪些信息?

答:

1、需要有历史数据包信息,这个就需要你有异常行为流量分析的系统或者设备,即,历史数据包全留存或者采样留存

2,历史数据包的深度分析,比如ping包的检查

3、部分需要警方的协助,警方与上游ISP的数据信息

4、公司领导的支持与大量的资金支持


Q4、针对DDos的防护方案,针对异常流量清洗可不可以分享下具体的方法,或者根据那些指标清洗!

 答:不是一句两句可以说清楚的,需要看具体的业务场景,清洗指标当然是基于设备防护系统的实际测试数据与对业务影响度的信息

CC的防护,需要进行参数的多次调整

流量型防护参数,需要业务的包频率信息,进行相应的调整。

 

Q5、在当前云计算环境下,考虑各种因素,您认为那种方式是比较可取的方案。

答:自建云的话,单线机房需要考虑机房出口带宽,自购防护系统的能力,以及同机房非自己公司云业务的其他公司是否会频繁遭受DDoS,否则会受牵连,以及所在的机房isp支持力度与响应时间

 

Q6、目前那家的防护设备性价比高点

答: 这个问题好尖锐,不好打防护厂商广告的,我只能说 一般情况下,国产的防护设备已经性价比超高,不必选择国外的防护设备。

 

Q7、对于CC攻击,防火墙、WAF、IPS那种效率最高?,,,,

答:防火墙。。。除非是应用防火墙稍微有些作用

WAF,waf主要是防应用层攻击,所以不是非常适用

IPS,这个2005年左右的产品,不是非常适用

最比较合适的如果是设备的话,当然是DDoS防护设备,需要靠防护算法的。

 

Q8、面对cc攻击,在操作系统的层面有什么好的防护手段没有?

 答: 说实话,没有,说白了,CC很多的访问都是正常的访问,即正常访问的多了造成的效果,所以 从操作系统层面 没有很好的方式,

 

Q9、防ddos,机房所谓联机联防,是通过硬件还是自主研发的系统来实现呢?

答:目前DDoS都是上G的,所以依靠防护设备效果是最明显有效的,

以前自主研发的系统,只有各设备厂商。

 

Q10、如果研究某个网站的业务,模拟业务进行攻击,这种情况下如何防护呢?

答:有防护设备,可从防护设备上设置最大的防护频率

如果没有防护设备,则从应用层,比如apache或者iis等设置单机最大访问进程,或者前端 有F5 进行参数设置

 

Q11、请问个人pc的安全有什么注意的地方?

答:个人习惯与个人安全意识,注意点很多,我推荐2个工具,Keepss,保存你的各种密码,TrueCrypt,加密盘。

 

Q12、请问流量清洗设备对ddos防护效果有多大?

答:效果非常显著与明显,电信的云堤,腾讯的大禹,等等很多 都是靠硬件清洗设备的。

 

Q13、真的有黑客指纹库和IP库么?

答:是的,社会工程学也会需要到。

黑客指纹库,这里的指纹,不是我们的手掌指纹,而是各种应用程序的指纹。

 

Q14、自己要是对自己的系统做DDOS攻击实验,那么,有什么现成的工具可以作为攻击使用么?

答:CC的 or 流量的,类型不同,工具不同,当然,我不会提供的可自行Google或者baidu。

 

Q15、针对p2p行业经常收到DDOS攻击,防护商可以精确识别是老攻击源还是新攻击源吗?

 答:这个取决于P2P使用的是自有防护or云防护,,部分云服务厂商会建立自己的ip信誉库,可以识别出来。

 

Q16、可以讲一下服务器os方面针对于安全方面的策略是如何设置的吗?

答:针对流量型,尽可能的最小化对外暴露的端口,加强系统安全与应用安全的配置,可相对防止外部的攻击,以及防止自己沦为肉鸡,针对应用型的提高服务器性能,提高访问并发率,并进行上限分流的设置,优化页面和数据库的访问瓶颈。

 单机服务器实在难以有效防护,现在的攻击都是DDoS,即群殴,不是单打独斗。


本文内容由G云提供:






中国最专业的私有云技术、项目信息、售前方案微信群,有需要的加入的,请联系@北极熊 


 
G云定制云 更多文章 Docker系列文章--Docker内置Swarm 模式介绍 MySQL字符集介绍及乱码解决方法 Docker系列文章--基于Docker的高可用架构实践 Docker系列文章--Docker容器内多进程管理(二) 数据挖掘之用户画像实时更新流程
猜您喜欢 8步变身数据科学家 每日安全动态推送(05-10) Awk&nbsp;20&nbsp;分钟入门介绍 “吃饭、睡觉、写代码、周而复始”,何其操蛋的生活 【Python 第53课】 数学运算