多層防御策略的DDoS防御是必不可少的����,包括專用的邊界解決用戶的防御和減輕威脅���,從網(wǎng)絡(luò)的各個(gè)方面����。這些工具應(yīng)提供反欺騙,
主機(jī)認(rèn)證�,數(shù)據(jù)層和應(yīng)用層,和協(xié)議驗(yàn)證的閾值�,基線實(shí)現(xiàn),空閑檢測(cè)���,和基于訪問(wèn)控制列表的位置的黑白列表���。
當(dāng)考慮到特殊的DDoS解決方案,公司需要確認(rèn)這些方案不僅可以基于應(yīng)用層DDoS攻擊和非常有效的阻斷技術(shù)和模式的DDoS檢測(cè)�,常規(guī)攻擊或習(xí)俗,以“學(xué)習(xí)”來(lái)識(shí)別交通數(shù)據(jù)的基礎(chǔ)上���,接受和異常交通行為模型�。流量分析是關(guān)鍵����,以協(xié)助快速檢測(cè)和限制的威脅,同時(shí)降低了誤報(bào)��。
為了獲得更高效的運(yùn)作�,公司也應(yīng)該尋求提供先進(jìn)的虛擬化和基于地理位置的DDoS解決方案���。位置技術(shù),另一方面���,惡意流量可以使公司阻止來(lái)自未知或可疑的不相關(guān)的來(lái)源�;地址信息流通過(guò)切割從公司外部的機(jī)構(gòu)可以加載資源���,并減少終端服務(wù)器帶寬的消耗����。
虛擬化策略�,管理員可以在一個(gè)單一的設(shè)備中創(chuàng)建和審查多個(gè)獨(dú)立的策略域,從而防止網(wǎng)絡(luò)效應(yīng)中的輻射對(duì)其他部分的攻擊����。防御機(jī)制的本質(zhì)是預(yù)設(shè),而不是投注在一組策略�,管理員可以事先定義多個(gè)配置�����,在戰(zhàn)略是不夠的���,更嚴(yán)格的策略的應(yīng)用����。
什么是DDoS攻擊?
DDOS又稱為分布式拒絕服務(wù),全稱是Distributed Denial of Service�����。 DDoS攻擊原理: 通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊��。通過(guò)向服務(wù)器提交大量請(qǐng)求���,使服務(wù)器超負(fù)荷���。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。常見(jiàn)的DDOS攻擊有SYN flood���、UDP flood�、ICMP flood等���。其中SYN flood是最常見(jiàn)的一種���,其原理是TCP協(xié)議設(shè)計(jì)中得缺陷(3次握手)��。在SYN flood攻擊時(shí)����,首先偽造大量的源IP地址��,分別向服務(wù)器發(fā)送的大量的SYN包����,服務(wù)器會(huì)返回ACK/SYN包,但是IP是偽造的��,所以服務(wù)器是不會(huì)受到應(yīng)答的���,會(huì)重試3-5次����,并且等待一個(gè)SYN time(一般是39秒到2分鐘)�,如果超時(shí)則丟棄這個(gè)連接。攻擊者發(fā)送大量的這種偽造源地址的SYN請(qǐng)求��,服務(wù)端會(huì)消耗很多的資源(CPU和內(nèi)存)來(lái)處理這種半連接����,同時(shí)還要對(duì)這些請(qǐng)求進(jìn)行SYN/ACK重試,最后的結(jié)果就是服務(wù)器無(wú)暇理睬正常的連接請(qǐng)求���,導(dǎo)致拒絕服務(wù)�����。
什么是CC攻擊�?
CC攻擊的前身是一個(gè)叫fatboy的攻擊程序��,當(dāng)時(shí)是黑客為了挑戰(zhàn)綠盟的一款防DDOS設(shè)備開(kāi)發(fā)的���。 CC應(yīng)該算是一個(gè)應(yīng)用層的DDOS����,是發(fā)生在TCP3次握手已經(jīng)完成之后�,,所以發(fā)送的IP都是真實(shí)的��,但應(yīng)用層的DDOS又是甚至比網(wǎng)絡(luò)層的DDOS更可怕���,因?yàn)榻裉鞄缀跛械纳虡I(yè)anti-DDOS設(shè)備�,只在對(duì)抗網(wǎng)絡(luò)層DDOS時(shí)效果較好��,而對(duì)應(yīng)用層DDOS攻擊卻缺乏有效的手段。CC攻擊的原理很簡(jiǎn)單����,就是對(duì)一些消耗資源交單的應(yīng)用頁(yè)面不斷地發(fā)起正常的請(qǐng)求,以達(dá)到消耗服務(wù)端資源的目的��,在web應(yīng)用中���,查詢數(shù)據(jù)庫(kù)��、讀寫(xiě)硬盤(pán)文件的操作�,相對(duì)都會(huì)消耗比較多的資源��。一個(gè)簡(jiǎn)單的例子����,一個(gè)小的網(wǎng)站,可能被搜索引擎����、信息收集等系統(tǒng)的爬蟲(chóng)爬死,或者是掃描器掃死���,這與應(yīng)用層的DDOS攻擊的結(jié)果很像����。
大級(jí)別攻擊運(yùn)行原理:
一個(gè)比較完善的DDoS攻擊體系分成四大部分�����,先來(lái)看一下最重要的第2和第3部分:它們分別用做控制和實(shí)際發(fā)起攻擊��。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別����,對(duì)第4部分的受害者來(lái)說(shuō),DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的�,第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)��,駭客(cracker)有控制權(quán)或者是部分的控制權(quán)��,并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上����,這些程序與正常的程序一樣運(yùn)行并等待來(lái)自駭客的指令,通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)��。在平時(shí),這些傀儡機(jī)器并沒(méi)有什么異常�,只是一旦駭客連接到它們進(jìn)行控制,并發(fā)出指令的時(shí)候�����,攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了��。
有的朋友也許會(huì)問(wèn)道:"為什么駭客不直接去控制攻擊傀儡機(jī)�,而要從控制傀儡機(jī)上轉(zhuǎn)一下呢?"���。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了��。做為攻擊者的角度來(lái)說(shuō)����,肯定不愿意被捉到��,而攻擊者使用的傀儡機(jī)越多�����,他實(shí)際上提供給受害者的分析依據(jù)就越多���。在占領(lǐng)一臺(tái)機(jī)器后�����,高水平的攻擊者會(huì)首先做兩件事:1. 考慮如何留好后門(mén)�����!
2. 如何清理日志���。這就是擦掉腳印,不讓自己做的事被別人查覺(jué)到���。比較不敬業(yè)的駭客會(huì)不管三七二十一把日志全都刪掉�����,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒(méi)了就會(huì)知道有人干了壞事了�,頂多無(wú)法再?gòu)娜罩景l(fā)現(xiàn)是誰(shuí)干的而已��。相反��,真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉�,讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀儡機(jī)。
但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程�����,即使在有很好的日志清理工具的幫助下��,駭客也是對(duì)這個(gè)任務(wù)很頭痛的��。這就導(dǎo)致了有些攻擊機(jī)弄得不是很干凈�����,通過(guò)它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī)����,這上級(jí)的計(jì)算機(jī)如果是駭客自己的機(jī)器,那么他就會(huì)被揪出來(lái)了����。但如果這是控制用的傀儡機(jī)的話,駭客自身還是安全的������?刂瓶軝C(jī)的數(shù)目相對(duì)很少����,一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī)����,清理一臺(tái)計(jì)算機(jī)的日志對(duì)駭客來(lái)講就輕松多了,這樣從控制機(jī)再找到駭客的可能性也大大降低��。
DDOS攻擊的目的���?
駭客一般都出于商業(yè)目的,比如有人雇傭駭客對(duì)一個(gè)網(wǎng)站進(jìn)行攻擊��,事后給錢����;不過(guò)如果該網(wǎng)站報(bào)警后被查出來(lái)幕后黑手的話,那么駭客和這位雇傭駭客的幕后黑手將受到法律嚴(yán)懲����!但是通過(guò)肉雞攻擊的ddos一般在雇傭攻擊的情況下則比較難查,因?yàn)槎际菍I(yè)駭客�����。
用UDP協(xié)議的攻擊?
很多聊天室��,視頻音頻軟件���,都是通過(guò)UDP數(shù)據(jù)包傳輸?shù)���,攻擊者針?duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議,發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包��,這種攻擊非常難防護(hù)��,一般防護(hù)墻通過(guò)攔截攻擊數(shù)據(jù)包的特征碼防護(hù)�����,但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔截�����。
針對(duì)游戲服務(wù)器的攻擊因?yàn)橛螒蚍⻊?wù)器非常多��,這里介紹最早也是影響最大的傳奇游戲���,傳奇游戲分為登陸注冊(cè)端口7000,人物選擇端口7100��,以及游戲運(yùn)行端口7200,7300,7400等��,因?yàn)橛螒蜃约旱膮f(xié)議設(shè)計(jì)的非常復(fù)雜�,所以攻擊的種類也花樣倍出,大概有幾十種之多��,而且還在不斷的發(fā)現(xiàn)新的攻擊種類��,這里介紹目前最普遍的假人攻擊��,假人攻擊是通過(guò)肉雞模擬游戲客戶端進(jìn)行自動(dòng)注冊(cè)�����、登陸��、建立人物��、進(jìn)入游戲活動(dòng)從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家��,很難從游戲數(shù)據(jù)包來(lái)分析出哪些是攻擊哪些是正常玩家����。 以上介紹的幾種最常見(jiàn)的攻擊也是比較難防護(hù)的攻擊�。一般基于包過(guò)濾的防火墻只能分析每個(gè)數(shù)據(jù)包����,或者有限的分析數(shù)據(jù)連接建立的狀態(tài)��,防護(hù)SYN,或者變種的SYN,ACK攻擊效果不錯(cuò)���,但是不能從根本上來(lái)分析tcp�����,udp協(xié)議���,和針對(duì)應(yīng)用層的協(xié)議,比如http,游戲協(xié)議�,軟件視頻音頻協(xié)議,現(xiàn)在的新的攻擊越來(lái)越多的都是針對(duì)應(yīng)用層協(xié)議漏洞��,或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)�����,或者干脆模擬正常的數(shù)據(jù)流����,單從數(shù)據(jù)包層面�,分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)�,根本沒(méi)辦法很好的防護(hù)新型的攻擊。
服務(wù)器租用提供哪些服務(wù)��?
我們?yōu)槟峁o(wú)限次的免費(fèi)重啟����、重裝、網(wǎng)卡禁用解禁�、防火墻誤開(kāi)關(guān)閉等服務(wù),簡(jiǎn)單的說(shuō)����,所有您遠(yuǎn)程無(wú)法完成的工作,都是我們免費(fèi)為您提供的服務(wù)�����。而像網(wǎng)站配置�、程序調(diào)試����、軟件的使用等就不是我們的服務(wù)范圍了,呵呵�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
