DDoS的攻擊原理和防護
發(fā)布時(shí)間:2022-09-05 12:34
來(lái)源:主機偵探
閱讀:94
作者:主機偵探
欄目: 主機資訊
歡迎投稿:712375056
據媒體報道�,8月25日晚錘子科技新品牌堅果第一款手機公布�。然而在發(fā)布會(huì )開(kāi)始不久�,其官網(wǎng)就遭遇了大規模的DDoS攻擊�,流量攻擊超過(guò)IDC提供商防御能力����。DDoS攻擊是當下互聯(lián)網(wǎng)中最常見(jiàn)的攻擊手段�����,據Akamai技術(shù)公司發(fā)布的數據報告顯示2015年第二季度DdoS攻擊量相比2014年第二季度翻了一倍以上��,大規模攻擊持續上升���。
DDoS(Distributed Denial of Service)是一種分布式拒絕服務(wù)攻擊���,借助于客戶(hù)/服務(wù)器技術(shù)���,將多個(gè)計算機聯(lián)合起來(lái)作為攻擊平臺����,從而對目標發(fā)動(dòng)拒絕服務(wù)攻擊的技術(shù)��。這種攻擊相對其他攻擊手段更難防御��。
目前存在有許多類(lèi)型的DDoS攻擊手段�,其中最流行的有以下幾種:
SYN/ACK Flood攻擊
這種攻擊方法是經(jīng)典最有效的DDOS方法�,通殺各種系統的網(wǎng)絡(luò )服務(wù)�����,主要是通過(guò)向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包��,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務(wù)�����,由于源都是偽造的故追蹤起來(lái)比較困難���,缺點(diǎn)是實(shí)施起來(lái)有一定難度�,需要高帶寬的僵尸主機支持��。
少量的這種攻擊會(huì )導致主機服務(wù)器無(wú)法訪(fǎng)問(wèn)����,但卻可以Ping的通�,在服務(wù)器上用Netstat -na命令會(huì )觀(guān)察到存在大量的SYN_RECEIVED狀態(tài)��,大量的這種攻擊會(huì )導致Ping失敗����、TCP/IP棧失效�,并會(huì )出現系統凝固現象����,即不響應鍵盤(pán)和鼠標����。普通防火墻大多無(wú)法抵御此種攻擊�。
TCP全連接攻擊
這是第二種攻擊方式,這種攻擊是為了繞過(guò)常規防火墻的檢查而設計的�����,一般情況下�����,常規防火墻大多具備過(guò)濾TearDrop���、Land等DOS攻擊的能力�,但對于正常的TCP連接是放過(guò)的�。殊不知很多WEB服務(wù)程序能接受的TCP連接數是有限的����,一旦有大量的TCP連接���,即便是正常的����,也會(huì )導致網(wǎng)站訪(fǎng)問(wèn)非常緩慢甚至無(wú)法訪(fǎng)問(wèn)���。
TCP全連接攻擊就是通過(guò)許多僵尸主機不斷地與受害服務(wù)器建立大量的TCP連接�,直到服務(wù)器的內存等資源被耗盡而被拖跨���,從而造成拒絕服務(wù)����。這種攻擊的特點(diǎn)是可繞過(guò)一般防火墻的防護而達到攻擊目的���,缺點(diǎn)是需要找很多僵尸主機����,并且由于僵尸主機的IP是暴露的���,因此容易被追蹤
CC攻擊
現在來(lái)講第三種攻擊方式��,這種攻擊方式實(shí)質(zhì)上是針對ASP,PHP,JSP等腳本程序�����,并調用MSSQLServer�、MySQLServer��、Oracle等數據庫的網(wǎng)站系統而設計的�。特征是和服務(wù)器建立正常的TCP連接��,并不斷的向腳本程序提交查詢(xún)����、列表等大量耗費數據庫資源的調用���,典型的以小博大的攻擊方法�����。攻擊者只需通過(guò)Proxy代理向主機服務(wù)器大量遞交查詢(xún)指令�����,只需數分鐘就會(huì )把服務(wù)器資源消耗掉而導致拒絕服務(wù)��,常見(jiàn)的現象就是網(wǎng)站慢如蝸牛��、ASP程序失效�����、PHP連接數據庫失敗��、數據庫主程序占用CPU偏高����。
DDoS攻擊的危害很大���,而且很難防范���。目前沒(méi)有哪個(gè)網(wǎng)絡(luò )可以免受DDoS攻擊����,但我們可以通過(guò)采取一些措施�����,起到一定的預防作用:
1.采用高性能的網(wǎng)絡(luò )設備��。首先要保證網(wǎng)絡(luò )設備不能成為瓶頸�,因此選擇路由器�����、交換機���、硬件防火墻等設備的時(shí)候要盡量選用知名度高��、口碑好的產(chǎn)品����。再就是假如和網(wǎng)絡(luò )提供商有特殊關(guān)系或協(xié)議的話(huà)就更好了��,當大量攻擊發(fā)生的時(shí)候請他們在網(wǎng)絡(luò )接點(diǎn)處做一下流量限制來(lái)對抗某些種類(lèi)的DDOS攻擊是非常有效的���。
2.充足的網(wǎng)絡(luò )帶寬�����。網(wǎng)絡(luò )帶寬直接決定了能抗受攻擊的能力��,假若僅僅有10M帶寬的話(huà)�����,無(wú)論采取什么措施都很難對抗現在的SYNFlood攻擊��。當前至少要選擇100M的共享帶寬�。
3.安裝專(zhuān)業(yè)的抗DDOS防火墻��。比如冰盾專(zhuān)業(yè)抗DDOS防火墻��。
面對DDoS這樣的網(wǎng)絡(luò )攻擊�����,租用服務(wù)器建站的企業(yè)有必要了解DdoS的攻擊原理和常見(jiàn)防護手段�,才能選擇高性能的服務(wù)器�,為自己的網(wǎng)站安全保駕護航�。
來(lái)源鏈接:https://www.idcspy.com/ddos-attack-and-defense.html
本站聲明:網(wǎng)站內容來(lái)源于網(wǎng)絡(luò ),如有侵權,請聯(lián)系我們,我們將及時(shí)處理���。
