CC攻击对网站的运营是非常不利的,因此我们必须积极防范这种攻击,但有些网站在防范这种攻击时可能会陷入误区。CC是DDoS攻击的一种,CC攻击是借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装,是通过制造大量的后台数据库查询动作来攻击页面,消耗目标资源。 CC攻击的特点和流量型DDoS攻击最大的区别是并不需要大流量即可达到攻击效果。有些极端情况下在遭受此类攻击的时候,流量特征可能没有明显的变化,而业务层面出现访问缓慢、超时等现象,且大量访问请求可能指向同一个或少数几个页面。因为CC攻击来的IP都是真实的、分散的,且CC攻击的请求,全都是有效的请求,无法拒绝的请求。对于此类攻击,DDoS攻击清洗设备的基础算法的作用可能就没那么明显了,需要在攻击过程中实时抓取攻击的特征,对症下药。由于CC攻击是典型的应用层DDos攻击,因此传统安全设备,如防火墙、运营商清洗等很难起到很好的CC防护作用。目前业界通常会在应用服务器前端部署具备安全功能的代理设备进行防护,比如WAF、负载均衡等,避免让服务器直接面对CC攻击。代理设备启用资源代理和安全防护功能,比如要求在接收完整的HTTP请求之后才会与服务器建立TCP连接并发送已收到的HTTP 请求,此时攻击者的请求直接被代理设备终结而不会发往服务器。 1、服务器垂直扩展和水平扩容资金允许的情况下,这是最简单的一种方法,本质上讲,这个方法并不是针对CC攻击的,而是提升服务本身处理并发的能力,但确实提升了CC防护的能力。 2、取消域名绑定一般cc攻击都是针对网站的域名进行攻击,攻击者在攻击工具中设定攻击对象为该域名然后实施攻击。 对于这样的攻击我们的措施是取消这个域名的绑定,让CC攻击失去目标,达到。 3、部署金盾防火墙防御CC攻击最简单便捷的方法就是通过金盾防火墙对网站端口进行防护,我们可以对CC攻击的攻击特征进行针对性CC防护配置,因为当发生了CC攻击的时候,可以很明显的发现大量的访问都集中在某几个或者多个页面。一般情况客户在访问业务的时候不会集中在几个页面,而是比较分散的。4、网站服务器可以安装金盾软件防火墙,通过在服务器里安装金盾软件防火墙,可以设置防护端口和开启web防护插件,自动识别和屏蔽攻击源。5、如果宿主机,VPS母机或者机柜,可以上联一台金盾盒子防火墙,可以对盒子下的所有主机IP提供防护,并可以针对某个或多个主机进行个性化CC防护策略的定制。
Category: 产品资讯
详解搭建和配置Nginx服务器
Nginx(engine X) 是一个高性能的 HTTP 服务器和反向代理服务器,这款软件开发的目的是为了解决 C10k 问题。 Nginx 的架构利用了许多现代操作系统的特性,以实现一个高性能的 HTTP 服务器。例如在 Linux 系统上,Nginx 使用了 epoll,sendfile,File AIO,DIRECTIO…
直播平台怎么防御DDOS攻击?
移动互联时代,直播行业硝烟四起,各大流媒体直播平台立足自身平台直播优势,纷纷携手电商,跨界营销玩得不亦乐乎。 相较于传统电商营销,网络视频直播的传播范围更广、推广效果更好,所需的时间更短、成本更低,而收益却达到了最高。 “人人都能当主播”的低门槛形式,让直播行业更加平民化。到如今,网络直播类型更可谓是五花八门,涉及的领域也特别之多,例如,游戏直播、美食直播、教育直播、讲座直播、购物直播、炒股直播等等一系列,令人眼花缭乱的直播。 就拿购物直播来说,各大电商平台上,但凡是规模较大的店铺,都会安排定期直播。因为静态图片无法生动展示商品的真实外观和品质,以及色差与否,而动态的视频直播却能够生动完整的展示产品,可以让用户们拥有一种“眼见为实”的购物体验。店铺的上新、促销等活动消息,也都能通过直播发布,关注的用户都能第一时间Get。 一场直播想要获得更多用户的关注,除了依靠吸粉的主播以外,更要有稳定通畅的用户体验。直播时,访问量越大,获利也就越多,相对而言,带宽的消耗也就更大,网络变得很不稳定。于是,通过DDoS攻击,让对方的直播卡顿、用户掉线,就成为了一个打压竞争对手的“好”方法。 所谓“树大招风”,被越多的人熟知,就越容易成为被攻击的目标。绝大多数DDOS攻击的发起都是利益导向,根本原因还是缘于行业之间的利益竞争。 随着网络技术的发展,DDOS攻击这个被称为“黑客入门”的网络攻击形式,早已形成了不太“地下”的黑色产业链。很早就有新闻报道过:花1块钱就能在1个小时内打1G流量;某直播平台只花了6000块,10天内就攻下了竞争对手…… DDOS(Distributed Denial of Service)攻击,即分布式拒绝服务攻击。 DDOS攻击利用了大量的虚假数据包访问目标,这些数据包都经过了伪装,无法查找来源。攻击一旦开始,海量虚假数据包一拥而上,系统直接崩溃。 DDOS攻击,其实是从前任DOS攻击的基础上衍生出来的另一种攻击。俗话说得好,“长江后浪推前浪,一浪更比一浪强”。 遭受了DDOS攻击怎么办?怎样才能更好的防护DDOS攻击?中新金盾抗拒绝服务系统(DMS)是您不错的选择! 最新型的中新金盾抗拒绝服务系统端设备,可以和中新网安金盾云清洗中心实时联动,是企业网络基础设施对抗流量型攻击的第一道防线。 中新网安通过十七年的发展,以及在抗拒绝服务攻击方面的研究、生产、部署和攻防实战经验中,形成了具有自主知识产权、性能优越、品质优秀的中新金盾抗拒绝服务系统。为解决来自不同方向的DDoS攻击问题,研发出高端精密硬件、主机端防护软件和虚拟化版本等不同形态,将东西南北向全方位防护闭环。联动流量分析系统实现动态清洗,结合管理平台让分布各地设备统一调度,可适配各类网络环境,为您的信息系统提供完善的安全保护。一流的核心模块 + 高效的防护算法,使得本系列产品成为抗拒绝服务的防护金盾。
常见DDoS(含CC)防护设置
以下防护设置适用金盾硬件防火墙,金盾盒子防火墙。 根据中新金盾DDoS 攻击防御经验,目前 DDoS 攻击主要分为流量型攻击和连接型 (Connection-Flood,简称“CC”)攻击。 对于流量型攻击金盾防火墙会采用深层次、细粒度检测算法,依据默认参数主动进行防御,不需要人为的设置复杂策略。其中需要注意 UDP_Flood 攻击要根据主机服务内容设定具体策略:一般在无 UDP 协 议服务的主机遇到此攻击时需让其触发“全局参数”里 UDP 保护或者封掉被攻击端口;有 UDP 协议服务的主机要保证不让其触发“全局参数”里的…
金盾防火墙的优势
金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙统称 通过多年市场发展,金盾防火墙拥有独立自主的技术专利,专业的硬件平台架构和线速处理技术,专用的安全操作系统,广泛的行业合作对象,优秀专业的技术和系统的服务优势。 专业的技术团队 中新网络信息安全股份有限公司研发中心是我公司负责网络安全产品、软硬件开发的核心部门。中新网安信息安全实验室研究世界先进的安全技术和安全产品,不断跟踪最新的黑客工具和黑客攻击技巧,执着专注的攻防研究人员构筑成安全服务队伍的强大技术后盾。研发部、测试部、网络工程部、售后中心各部门在统一领导下合作开展工作。 中新网安拥有一支握先进安全理念和成熟安全技术的安全服务队伍,有70多名技术人员,拥有CISP、CISAW、CCIE、HCIE等技术,有着丰富的安全咨询、安全系统集成、专业安全服务经验,并熟悉用户业务应用和了解安全隐患所在。中新网安将竭其在信息安全领域的造诣,帮助用户评估信息系统的安全状况,指导用户进行信息安全体系建设,提高用户的安全意识和技术水平,实现业务安全目标。 高端硬件架构 中新金盾抗拒绝服务系统采用专业的硬件架构,使用了目前先进的ATCA架构硬件平台,在背板结构上,结合独创的攻击检测算法,能够针对海量DDoS进行防护。ATCA支持星状、网状、双星和两组双星等多种拓扑结构,为用户提供更多接口选项,具备更丰富的弹性;在多板卡间数据传输问题上,ATCA采用全网状结构,使内部最高数据传输交换速率达2.4Tbps;在背板总线协议选择上,ATCA支持多种基于数据包的交换式总线; ATCA规范在外形设计定义上预留了更大的空间,同时提供了冗余风扇和温度监控管理,以增强系统散热能力;ATCA代表着全开放、模块化的工业标准,它可以使设备制造商采用第三方厂商的可互操作性、成熟的商业化(COTS)软硬件组件,在快速实现集成或升级换代的同时,增强了系统的整体兼容性。 由于系统支持旁路部署方式,可对DDoS攻击流量进行牵引,同时通过部署若干台金盾设备形成集群,更加增强了系统抵御巨大规模的DDoS攻击的能力,保证了正常流量的顺畅通过。 独立自主的技术 独特的连接代理防护算法 中新金盾抗拒绝服务系统系列产品中应用了自主研发的抗拒绝服务攻击算法。针对SYN攻击,采用SYN Proxy连接代理防护模式,以代理模式处理客户端与服务器之间的连接,同时完成攻击报文的过滤,即使在海量攻击下仍然可以保证99.99%的新建连接的连接成功率。 高效的连接数据转发算法 中新金盾抗拒绝服务系统系列产品,采用自主研发的TCP Fast…
为什么需要中新金盾系列防火墙防护DDoS攻击
金盾防火墙是中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙简称,为什么需要金盾防火墙防护DDoS攻击主要有一下几点原因。 常规技术和产品的不足 传统的DDoS防御主要是采用为各种不同的攻击行为设置网络流量阈值的方式,这种DDoS防御方式有以下几点不足: 配置复杂,自动化不强。传统DDoS防御一般要求用户针对某种流量配置相应的阈值,如果对网络及其流量没有清楚的了解,用户很难做出正确的配置。并且,这种用户指定阈值的防御方式也无法根据网络流量的变化动态的对防御规则进行调整。 防御能力比较单一。目前DDoS攻击的趋势是多层次和全方位的。在一次攻击过程中,会产生针对半连接的SYN Flood、UDP Flood和ICMP Flood,针对连接的TCP Connection Flood,以及针对应用层协议的HTTP Get Flood、HTTP Put Flood等多种攻击。而传统DDoS防御主要针对SYN Flood等单一攻击类型,无法应对这种多层次、全方位的攻击,防御能力比较单一。 无法应对未知的攻击。随着DDoS攻击工具源代码在网上散播,攻击者可以很容易改变DDoS攻击的报文类型,形成DDoS攻击的变体。而传统DDoS防御主要针对已知DDoS攻击,对未知的DDoS攻击变体无法进行防御。…
DDoS攻击事件
DDoS攻击是在DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式进行,而DDoS则可以利用网络上已被攻陷的计算机作为“僵尸”主机针对特定目标进行攻击。所谓“僵尸”主机即感染了僵尸程序(即实现恶意控制功能的程序代码)的主机,这些主机可以被控制者远程控制来发动攻击。在僵尸主机量非常大情况下(如10万甚至更多),可以发动大规模DDoS攻击,其产生的破坏力是惊人的。 随着互联网和物联网的发展,DDoS攻击呈现出新的特点: 攻击越来越频繁,流量越来越大,2017年上半年单次DDoS攻击平均峰值为32Gbps,相比2016年下半年升高47.5%。300Gbps的超大流量DDoS攻击呈增长趋势,共发生46次,Q2比Q1增加了720%。 反射放大攻击横扫全球,直接拥塞链路 慢速应用型攻击精确打击互联网金融和游戏等业务系统 2016年5月Anonymous组织发起的“Operation OpIcarus”攻击:针对全球范围内的多家银行网站,发动了短期性网络攻击,导致央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作。 2016年11月,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。 2017年中旬,阿里云发布2017年上半年的“游戏行业DDoS态势报告”。报告显示,2017年1月至6月,游戏行业大于300G以上的攻击超过1800次,最大峰值为608G;游戏公司每月平均被攻击次数为800余次。在2017年1月至3月为攻击最猖獗的时期,平均每天有30多次攻击。 2018年上半年,DDoS攻击对于互联网安全的威胁形势进一步加剧,新型Memcached 反射放大攻击甚至带来了1.7Tbps的惊人流量峰值。 在世界各国对互联网高度依赖的同时,针对大规模网络以拒绝服务攻击为主的恶意行为已经成为互联网上的一个首要安全威胁,几乎每次该类攻击事件都给整个社会造成了巨大的经济损失;所以保证网络环境有效运行是互联网业务提供商急需解决的重要安全问题,而 中新金盾专业防御各类DDoS攻击(含CC攻击)系列防火墙中的中新金盾抗拒绝服务系统以此为目标,提供强有力的安全保障。