分布式拒绝服务 (DDoS) 攻击是指利用来自多台计算机的大规模流量轮番轰炸某个服务(通常是某个网站),致使提供该服务的服务器无法再正常运行,最终导致服务器不可用。
与拒绝服务 (DoS) 攻击(使用一台计算机及其互联网连接向目标系统发送海量数据包)不同,DDoS 攻击利用多台计算机及其互联网连接。这些分布在全球各地的计算机往往在其所有者不知情的情况下遭到入侵,进而形成僵尸网络。
通常,攻击者会试图通过大量流量造成系统饱和,致使其无法再接受新的流量,或者拖慢系统速度,导致它根本无法使用。
DDoS 攻击分为三类:
- 协议攻击 —— 包括 SYN 泛洪攻击、Ping-of-Death 攻击等。这些攻击企图利用 ICMP 和 TCP 等互联网协议中的漏洞或缺陷来消耗资源。抵御此类攻击的最佳方法是进行全面修复并正确配置网络设备。
- 大数据洪水攻击 —— UDP 泛洪和 ICMP 泛洪,这些攻击有时会利用易受攻击的协议实现(例如 DNS 放大)来调用。此类攻击会造成网络带宽饱和,最好的解决方法是使用下游防火墙和全局分布式高容量接入点。
- 应用层攻击 —— Slowloris 和其他慢速 HTTP 攻击,以及代价高昂的 Web 调用。此类攻击的危害性最大,因为它们看起来就像真正的应用流量,但却企图利用常见 Web 应用的漏洞。最好的解决方法是使用具有加速、卸载和过滤功能的软件。
NGINX Plus 如何助一臂之力?
作为出色的负载均衡解决方案,NGINX Plus 和 NGINX 在 Dropbox、Netflix 和 Zynga 等高流量网站中有着广泛的应用。全球超过 3.5 亿个网站都使用 NGINX Plus 和 NGINX 开源版快速、可靠、安全地交付内容。
NGINX Plus 是 DDoS 攻击缓解解决方案的重要组成部分,可为您提供一系列工具来保护易受攻击的应用免受各种应用层攻击。
可利用 DDoS 攻击的某些特征来抵御这些攻击,例如用于攻击的客户端 IP 地址、请求速率及某些 HTTP 请求头。NGINX Plus 的许多特性(结合上述特征)均可用于抵御 DDoS 攻击,并有助于及时识别这些攻击。
如欲了解更多信息,请参阅《NGINX 和 NGINX Plus 助力防御 DDoS 攻击》。