常見的網(wǎng)絡(luò)攻擊怎樣去抵抗
Web安全是一個大課題,在網(wǎng)絡(luò)安全事件中,針對Web的攻擊是最多的。
從一些html標簽,到JS代碼安全問題,然后到接口、數(shù)據(jù)庫,以及流量攻擊、模擬請求、自動化攻擊等等,很多很多。
本文簡單的聊聊常見的網(wǎng)絡(luò)攻擊防御方式。
一、DDOS
DDOS最常見,也是最難防御。目前還沒有人敢說能徹底防御DDOS。
DDoS就是流量攻擊。
由于DDoS攻擊往往采取合法的數(shù)據(jù)請求技術(shù),再加上傀儡機器,造成DDoS攻擊成為最難防御的網(wǎng)絡(luò)攻擊之一。
如何基礎(chǔ)防御:
1. 對頻繁請求的ip和接口進行限流,熔斷處理,超過多少次必須輸入圖形驗證碼。
進行驗證處理可,減輕服務(wù)器數(shù)據(jù)庫處理壓力。
其實現(xiàn)在很多大公司都是把一下接口放在一個項目里面進行rpc遠程調(diào)用處理。通過分布式緩存,分布式一致性問題,分布式事務(wù)來解決這些問題。
2. 使用黑名單和白名單機制,防御攻擊(OAuth2.0協(xié)議)這個推薦使用。
這個黑名單白名單就是現(xiàn)在很多代理網(wǎng)站來給你處理網(wǎng)站的安全性,也算是給你防御網(wǎng)站吧。
3. 選擇高防數(shù)據(jù)中心:
國內(nèi)數(shù)據(jù)中心一般都會有防火墻防御,我們今天把防火墻情況分為兩種:
集群防御,單線機房防御一般在:10G-32G的集群防御,BGP多線機房一般為:10G以內(nèi)集群防火墻。
獨立防御,獨立防御都是出現(xiàn)在單線機房,或者是多線多ip機房,機房防御能力一般為:10G-200G不等,這種機房是實現(xiàn)的單機防御能力,隨著數(shù)據(jù)中心的防御能力提高還有就是競爭壓力比較大,高防的價格也在不斷的創(chuàng)造新低。
4. CDN內(nèi)容分發(fā):
通過CDN防御的方式:CDN技術(shù)的初衷是提高互聯(lián)網(wǎng)用戶對網(wǎng)站的訪問速度,但是由于分布式多節(jié)點的特點,又能夠?qū)Ψ植际骄芙^攻擊流量產(chǎn)生稀釋的效果。所以目前CDN防御的方式不但能夠起到防御的作用,而且用戶的訪問請求是到最近的緩存節(jié)點,所以也對加速起到了很好的作用。
CDN防御的最重要的原理:通過智能DNS的方式將來自不同位置的流量分配到對應(yīng)的位置上的節(jié)點上,這樣就讓區(qū)域內(nèi)的節(jié)點成為流量的接收中心,從而將流量稀釋的效果,在流量被稀釋到各個節(jié)點后,就可以在每個節(jié)點進行流量清洗。從而起到防御作用。
目前針對DDOS流量攻擊的防護方法中CDN防御也分為自建CDN防御,這種情況防御能力較好,但是成本較高,需要部署多節(jié)點,租用各個節(jié)點服務(wù)器,如果應(yīng)用較少的話,造成資源浪費。另外就是租用別人現(xiàn)成的CDN防御,可以極大的節(jié)省成本,并且防御能力很少非常好。