7折
减价出售
¥799
如何阻止WordPress上的DDoS攻击
一般来说,常规(非分布式)拒绝服务(DoS)攻击旨在使服务器资源不堪重负,使站点下线。恶意行为者会利用多余请求干扰网络主机的服务,导致合法请求无法到达该站点。
你可以把这看作是商店外的抗议活动。如果有人堵住了建筑入口,顾客就无法进入,实际上商店也无法进行最佳交易(甚至根本无法)。
DDoS(分布式拒绝服务)攻击利用网络中的多台远程计算机来实现这一目标。这实际上类似于“Slashdot效应”,即合法且前所未有的流量(通常因高流量网站的链接)可能导致网站变慢或崩溃。然而,虽然这有其合理原因,但DDoS攻击总是有计划且恶意的。
例如,许多被DDoS攻击使用的机器都遭受了漏洞利用或恶意软件注入。攻击者会通过远程指令控制这些“机器人”,针对特定IP地址,每个机器人看起来都可能很合法。
成功拒绝服务攻击的关键因素之一是目标的网速比攻击者慢。现代计算技术使得这一点变得困难,这也是为什么DDoS攻击对恶意行为者表现更好。
总体而言,DDoS攻击的分布式特性使得在典型情况下难以识别攻击。
如何识别DDoS攻击
如果你想学会如何阻止DDoS攻击,首先需要了解DDoS攻击的具体样貌。这可能很难,因为你流量高可能有正当理由。
从高层面看,如果网站变慢或崩溃,这就是实施灾难计划的信号(稍后会详细说明)。接下来,你需要留意一些明显的迹象:
- 大量流量都显示出共同的特征码。这可能意味着流量来自相同的IP地址或地址范围。在其他情况下,你可能会发现来自相似地点、推荐网站或设备类型的流量。
- 流量也可能流向单一网站端点——通常是某个特定页面。大量404错误也是一个明显的信号。
- 流量模式与你预期网站的流量不符。例如,这可能是超出你平时时间范围的高峰,或者是非自然事件,比如工作时段活动激增。
- 这些行为都可能是合法的,而非恶意的。因此,你需要依靠你的分析软件来判断哪些是相关且相关。
你还应注意,并非所有DDoS攻击都相同,不同类型会使问题更加复杂。因此,如果你想了解如何阻止DDoS攻击,了解这些类型非常重要。
你会遇到的不同类型的DDoS攻击
“网络连接性”看似简单描述计算机在网络间的连接方式,但这是一种谬误。开放系统互联(OSI)模型展示了网络连接和通信系统的实际分层复杂性:
DDoS攻击根据其目标层分为不同类别。即便如此,你也可以把它们分成不同的组。虽然你可以按层进行分类,但也可以根据DDoS攻击的目标来分类。
例如,体积攻击试图覆盖网络层和传输层(第三层和第四层)。这里的攻击可能会改变数据在网络上的传播方式,以及传输协议的有效性。
其中一种类型——域名系统(DNS)放大攻击——利用“僵尸网络”伪造目标IP地址,向开放的DNS服务器发送请求。这会导致服务器响应目标IP并导致资源过载。
协议层攻击
协议层或基础设施层攻击也针对第三层和第四层,是实施DDoS攻击的典型方式。这时服务器的资源和网络设备无法处理这些数据。
这里的一个例子是用户数据报协议(UDP)反射攻击。这利用了UDP的无状态特性。你几乎可以用任何编程语言创建有效的UDP请求包。要成功实施攻击,你只需将目标IP地址列为UDP源地址。
这些数据流向的服务器会放大数据,生成更大的响应包,然后将其反射回目标IP地址。因此,恶意行为者无需在任何时刻建立服务器连接,这种连接成本低廉。
当你连接到网页服务器时,客户端和服务器之间会进行一次“三方握手”,这包括同步(SYN)和确认(ACK)包。服务器发送合并的SYN-ACK包时,客户端发送单一的SYN和ACK包。
在SYN洪泛攻击中,客户端——在此例中是恶意用户——发送多个SYN包,但没有发送最终的ACK包。这导致许多半开放的传输控制协议(TCP)连接,意味着服务器容量不足以接收新的连接。这又是另一种阻止合法用户获取可用连接的方式。
应用层攻击
你不仅会在第三和第四层看到DDoS攻击。应用层——第七层——位于顶层。这意味着它处理人机交互,并允许应用程序访问网络服务。
因此,有许多DDoS攻击会控这一层,通常通过HTTP请求。对客户端来说,HTTP 请求成本低,但对WordPress服务器来说,从技术角度来说响应成本高。攻击看起来像是合法流量,主要是因为它们使用相同的方式访问网站。
例如,HTTP 泛滥就像在浏览器上连续按刷新按钮一样。一旦这种拒绝服务(DoS)交互变成DDoS,情况就会变得更加复杂。
HTTP 洪水的风格也很复杂,会使用许多不同的IP地址和随机签名,针对大量网络网址,以扩大攻击范围。即使是针对单个URL的简单实现也会带来很大损失。
对于黑客来说,Slowloris 攻击占用的带宽更少,但可能引发更多混乱。在这种情况下,每个请求对WordPress服务器来说处理时间无限,并垄断所有可用连接。由于这种攻击针对并发连接较少的服务器,你会经常看到它影响较小的WordPress主题。
如何准备面对DDoS攻击
准备是阻止DDoS攻击的方法,因为你越快恢复正常越好。事实上,你很可能无法完全消除威胁,但你可以将潜在问题降到最低。
不过在此之前,你需要“统计”你愿意花多少钱,因为现金流会影响你如何阻止DDoS攻击的计划。你应该从攻击对企业造成的损失开始,然后再往回计算可用的预算。这不是你想在攻击中途做的计算。
接下来,你需要注意三个关键领域,重点准备。
- 制定灾难和恢复计划,这样可以明确告诉团队中的每个人该做什么。
- 之后,你可以将部分预算投入到专门的DDoS防护服务上。这将安排专家监控网站,“打击”你收到的恶意流量,等等。
- 学会识别DDoS攻击何时开始。你的网站分析在这里至关重要,因为你可以监测DDoS攻击的明显迹象,并在灾难发生前做出反应。
在技术层面上,你可以做更多事情来阻止WordPress DDoS攻击,防止其开始。我们接下来会讲这个。
如何缓解DDoS攻击
由于阻止DDoS攻击的最大难题之一是难以区分优质流量和不良流量,你不能仅仅依赖一种解决方案来缓解问题。如果你看看“多向量”DDoS攻击——即攻击多个OSI层的攻击,这一点尤其明显。
因此,你还需要分层储备以增强防御。有一些简单的方法可以做到这一点:
- 黑洞路由。这就是你把流量过滤到空路由并从网络中丢弃的过程。如果没有特定的过滤,你会丢弃所有流量,这并不理想。
- 速率限制。虽然这本身不足以阻止DDoS攻击,但你可以限制每个用户完成的动作数量。
- 网络扩散。如果你把访问你网站的流量分散到分布式网络中,理论上你可以分散DDoS攻击的影响。
因此,扩展带宽、网络连接及其他资源是应对DDoS攻击的最佳方法之一。我们稍后会讨论的一些解决方案是以云服务的形式出现,它通过分发流量作为防御手段。
您还可以使用现场解决方案,如验证码(CAPTCHA),来保护您网站上的重要端点。这时你的登录页面需要高度的安全措施,因为你可以将资源密集的网站元素置于登录界面或其他保护措施之后。
此外,你还可以实现一些手动技术的考虑。例如,你可以设置更低的SYN或UDP阈值,并在WordPress服务器上超时半开连接。
阻止DDoS攻击的四步策略
在本文剩余部分,我们将向你展示如何通过四个步骤阻止DDoS攻击。好消息是,我们给出的建议并不死板或严苛。因此,你可以根据自己的需求调整这些想法。
以下是我们将讨论的内容:
- 应对计划和危机策略如何拯救你。
- 你应该采取什么方法来防御一个网络服务器。
- 本地DDoS防护的利弊。
- 基于云的DDoS缓解能为你带来什么。
让我们从已经提到的一个话题开始——战略制定。
1. 制定策略和应对计划
把你要做的一切都写进官方的灾难和应对计划,是个很棒的主意。这应该是你企业中最详细的文件之一,包含你将采取的所有步骤来阻止攻击并恢复资源。
以下是一些值得注意的事项:
- 每个团队成员响应DDoS攻击时应按顺序遵循的步骤。
- 团队外人员应有向客户、客户、供应商、供应商及其他相关方沟通问题的指导。
- 你需要包含互联网服务提供商(ISP)DDoS防护服务以及其他一线人员的重要联系方式。
一旦这些措施就位,整个公司都会明白需要做些什么来保护你的WordPress网站服务器。
2. 想办法保护你的网络服务器
DDoS攻击主要存在两个问题:
- 很难判断什么时候发作。
- 如果你必须对持续的攻击做出反应,那已经太晚了。
为了解决这两个问题,你需要使用DDoS防护服务。Cloudflare是其中最优秀的之一,它在全球范围内配备了专用服务器架构,能够拦截、传播和过滤网页流量。
考虑到这一点,你不会想实现静态流量阈值或填满IP屏蔽列表,因为这不够,而且大多数情况下是被动措施。由于可扩展性是阻止DDoS攻击的最佳方法之一,“自制”方法在带宽限制上表现更好,专用服务在这方面表现更好。
3. 实施现场保护
本地DDoS防护利用网络上的硬件设备过滤受保护服务器的流量。这是一种可行且复杂的方法来缓解和阻止DDoS攻击。
Radware和F5生产硬件DDoS缓解单元,有些还生产硬件WAF(网络应用防火墙)。
然而,本地保护只能做到有限,无法阻止大规模攻击——尤其是DDoS。因此,你需要配合云端的DDoS系统,以获得最佳的阻止DDoS攻击响应。
4. 考虑基于云端的DDoS解决方案
实际上,越来越多的站点依赖云保护,因为它可扩展、持续在线,而且比硬件更便宜。维护成本也很低。
你会发现一些DDoS服务只在ISP层面有效,但云端服务的防护范围更大。这些服务通常拥有庞大的计算机网络用于分发流量。
例如,亚马逊的AWS Shield利用其网络自动检测和缓解DDoS攻击。此外,您还可以自定义该工具如何保护你的服务器和第一方WAF一起。
Cloudflare的Magic Transit可以很好地作为你现有本地解决方案的补充。你还将获得一系列帮助你管理虚拟网络的工具,如负载均衡器、高级数据包过滤等。
