DDoS介紹
DDoS是英文Distributed Denial of Service的縮寫���,意即“分布式拒絕服務”���,那么什么又是拒絕服務(Denial of Service)呢?可以這么理解����,凡是能導致合法用戶不能夠訪問正常網(wǎng)絡服務的行為都算是拒絕服務攻擊����。也就是說拒絕服務攻擊的目的非常明確����,就是要阻止合法用戶對正常網(wǎng)絡資源的訪問,從而達成攻擊者不可告人的目的��。分布式拒絕服務攻擊一旦被實施����,攻擊網(wǎng)絡包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機,從而把合法用戶的網(wǎng)絡包淹沒�,導致合法用戶無法正常訪問服務器的網(wǎng)絡資源��,因此�,拒絕服務攻擊又被稱之為“洪水式攻擊”��,常見的DDOS攻擊手段有SYN Flood���、ACK Flood��、UDP Flood、ICMP Flood��、TCP Flood���、Connections Flood����、Script Flood���、Proxy Flood等���。
目前而言,黑客甚至對攻擊進行明碼標價�����,打1G的流量到一個網(wǎng)站一小時�����,只需50塊錢�。DDoS的成本如此之低,而且攻擊了也沒人管���。
關于DDos攻擊的常見方法
1. SYN Flood:利用TCP協(xié)議的原理�����,這種攻擊方法是經(jīng)典最有效的DDOS方法����,可通殺各種系統(tǒng)的網(wǎng)絡服務,主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK 包���,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務���。TCP通道在建立以前,需要三次握手:
a. 客戶端發(fā)送一個包含SYN標志的TCP報文��, 同步報文指明客戶端所需要的端口號和TCP連接的初始序列號
b. 服務器收到SYN報文之后�,返回一個SYN+ ACK報文,表示客戶端請求被接受�,TCP初始序列號加1
c.客戶端也返回一個確認報文ACK給服務器,同樣TCP序列號加1
d. 如果服務器端沒有收到客戶端的確認報文ACK�,則處于等待狀態(tài),將該客戶IP加入等待隊列���,然后輪訓發(fā)送SYN+ACK報文
所以攻擊者可以通過偽造大量的TCP握手請求����,耗盡服務器端的資源��。
2. HTTP Flood:針對系統(tǒng)的每個Web頁面���,或者資源����,或者Rest API��,用大量肉雞�,發(fā)送大量http request。這種攻擊主要是針對存在ASP�、JSP、PHP�、CGI等腳本程序,并調(diào)用MSSQLServer�、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的��,特征是和服務器建立正常的TCP連接���,并不斷的向腳本程序提交查詢�����、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用�,典型的以小博大的攻擊方法。缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣�。
3. 慢速攻擊:Http協(xié)議中規(guī)定,HttpRequest以\r\n\r\n結尾來表示客戶端發(fā)送結束��。攻擊者打開一個Http 1.1的連接���,將Connection設置為Keep-Alive���, 保持和服務器的TCP長連接。然后始終不發(fā)送\r\n\r\n���, 每隔幾分鐘寫入一些無意義的數(shù)據(jù)流���, 拖死機器。
4. P2P攻擊:每當網(wǎng)絡上出現(xiàn)一個熱門事件��,比如XX門���, 精心制作一個種子���, 里面包含正確的文件下載����, 同時也包括攻擊目標服務器的IP��。這樣���,當很多人下載的時候, 會無意中發(fā)起對目標服務器的TCP連接��。
DDOS攻擊現(xiàn)象判定方法
1.SYN類攻擊判斷:A.CPU占用很高�����;B.網(wǎng)絡連接狀態(tài):netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)�;C.網(wǎng)線插上后,服務器立即凝固無法操作���,拔出后有時可以恢復���,有時候需要重新啟動機器才可恢復。
2.CC類攻擊判斷:A.網(wǎng)站出現(xiàn)service unavailable提示;B.CPU占用率很高�����;C.網(wǎng)絡連接狀態(tài):netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達幾十條甚至上百條��;D.用戶無法訪問網(wǎng)站頁面或打開過程非常緩慢,軟重啟后短期內(nèi)恢復正常,幾分鐘后又無法訪問����。
3.UDP類攻擊判斷:A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包;B.網(wǎng)絡狀態(tài):netstat –na TCP信息正常����。
4.TCP洪水攻擊判斷:A.CPU占用很高;B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達幾十條甚至上百條
DDoS攻擊防御方法:
1. 過濾不必要的服務和端口:可以使用Inexpress�����、Express����、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP����。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較�����,并加以過濾����。只開放服務端口成為目前很多服務器的流行做法�,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。
2. 異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾��,通過數(shù)據(jù)包的規(guī)則過濾�、數(shù)據(jù)流指紋檢測過濾����、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾��。單臺負載每秒可防御800-927萬個syn攻擊包�����。
3. 分布式集群防御:這是目前網(wǎng)絡安全界防御大規(guī)模DDOS攻擊的最有效辦法�。分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址(負載均衡),并且每個節(jié)點能承受不低于10G的DDOS攻擊�����,如一個節(jié)點受攻擊無法提供服務,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點���,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點��,使攻擊源成為癱瘓狀態(tài)�����,從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策�。
4. 高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結合��,為企業(yè)提供對抗新興安全威脅的超級檢測功能�。它顛覆了傳統(tǒng)一個域名對應一個鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡的服務器��。同時智能DNS解析系統(tǒng)還有宕機檢測功能����,隨時可將癱瘓的服務器IP智能更換成正常服務器IP,為企業(yè)的網(wǎng)絡保持一個永不宕機的服務狀態(tài)�。
DDoS攻擊的網(wǎng)絡流量清洗
當發(fā)生DDOS攻擊時,網(wǎng)絡監(jiān)控系統(tǒng)會偵測到網(wǎng)絡流量的異常變化并發(fā)出報警���。在系統(tǒng)自動檢測或人工判斷之后�����,可以識別出被攻擊的虛擬機公網(wǎng)IP地址�����。這時�����,可調(diào)用系統(tǒng)的防DDOS攻擊功能接口����,啟動對相關被攻擊IP的流量清洗�。流量清洗設備會立即接管對該IP地址的所有數(shù)據(jù)包,并將攻擊數(shù)據(jù)包清洗掉�,僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡設備。這樣����,就能保證整個網(wǎng)絡正常的流量通行,而將DDOS流量拒之門外�����。
采用云DDoS清洗方式,可以為企業(yè)用戶帶來諸多好處�����。其表現(xiàn)在不僅可以提升綜合防護能力����,用戶能夠按需付費,可彈性擴展���,而且還能夠基于大數(shù)據(jù)來分析預測攻擊�,同時能夠免費升級���。對于企業(yè)用戶來說���,則可實現(xiàn)零運維、零改造�。
CC攻擊防御方法
1. 利用Session做訪問計數(shù)器:利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器,防止用戶對某個頁面頻繁刷新導致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量�����。(文件下載不要直接使用下載地址,才能在服務端代碼中做CC攻擊的過濾處理)
2. 把網(wǎng)站做成靜態(tài)頁面:大量事實證明��,把網(wǎng)站盡可能做成靜態(tài)頁面�,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩����,至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn),看看吧����!新浪、搜狐�����、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面�,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去�����,免的遭受攻擊時連累主服務器���。
3. 增強操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務器操作系統(tǒng)�,本身就具備一定的抵抗DDOS攻擊的能力���,只是默認狀態(tài)下沒有開啟而已��,若開啟的話可抵擋約10000個SYN攻擊包�����,若沒有開啟則僅能抵御數(shù)百個�,具體怎么開啟��,自己去看微軟的文章吧���!《強化 TCP/IP 堆棧安全》���。也許有的人會問,那我用的是Linux和FreeBSD怎么辦����?很簡單,按照這篇文章去做吧�!《SYN Cookies》。
4. 在存在多站的服務器上,嚴格限制每一個站允許的IP連接數(shù)和CPU使用時間�,這是一個很有效的方法。CC的防御要從代碼做起����,其實一個好的頁面代碼都應該注意這些東西,還有SQL注入���,不光是一個入侵工具�,更是一個DDOS缺口���,大家都應該在代碼中注意�����。舉個例子吧��,某服務器�,開動了5000線的CC攻擊�����,沒有一點反應��,因為它所有的訪問數(shù)據(jù)庫請求都必須一個隨機參數(shù)在Session里面�,全是靜態(tài)頁面,沒有效果�����。突然發(fā)現(xiàn)它有一個請求會和外面的服務器聯(lián)系獲得��,需要較長的時間���,而且沒有什么認證����,開800線攻擊�,服務器馬上滿負荷了。代碼層的防御需要從點點滴滴做起�,一個腳本代碼的錯誤,可能帶來的是整個站的影響����,甚至是整個服務器的影響!
5. 服務器前端加CDN中轉(zhuǎn)(免費的有百度云加速、360網(wǎng)站衛(wèi)士�����、加速樂、安全寶等)�����,如果資金充裕的話�,可以購買高防的盾機,用于隱藏服務器真實IP��,域名解析使用CDN的IP�����,所有解析的子域名都使用CDN的IP地址���。此外�,服務器上部署的其他域名也不能使用真實IP解析�����,全部都使用CDN來解析��。
另外����,防止服務器對外傳送信息泄漏IP地址�,最常見的情況是��,服務器不要使用發(fā)送郵件功能�,因為郵件頭會泄漏服務器的IP地址�。如果非要發(fā)送郵件,可以通過第三方代理(例如sendcloud)發(fā)送�����,這樣對外顯示的IP是代理的IP地址��。
總之����,只要服務器的真實IP不泄露,10G以下小流量DDOS的預防花不了多少錢�,免費的CDN就可以應付得了。如果攻擊流量超過20G����,那么免費的CDN可能就頂不住了,需要購買一個高防的盾機來應付了�����,而服務器的真實IP同樣需要隱藏
WAF介紹
WAF(Web Application Firewall)的中文名稱叫做“Web應用防火墻”,利用國際上公認的一種說法����,WAF的定義是這樣的:Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。通過從上面對WAF的定義中�,我們可以很清晰的了解到,WAF是一種工作在應用層的����、通過特定的安全策略來專門為Web應用提供安全防護的產(chǎn)品。
根據(jù)不同的分類方法�����,WAF可分為許多種����。從產(chǎn)品形態(tài)上來劃分,WAF主要分為以下三大類:
1.硬件設備類:目前安全市場上�����,大多數(shù)的WAF都屬于此類�����。它們以一個獨立的硬件設備的形態(tài)存在,支持以多種方式(如透明橋接模式��、旁路模式�、反向代理等)部署到網(wǎng)絡中為后端的Web應用提供安全防護。相對于軟件產(chǎn)品類的WAF�,這類產(chǎn)品的優(yōu)點是性能好、功能全面�����、支持多種模式部署等�,但它的價格通常比較貴����。國內(nèi)的綠盟、安恒�、啟明星辰等廠商生產(chǎn)的WAF都屬于此類。
2.軟件產(chǎn)品類:這種類型的WAF采用純軟件的方式實現(xiàn)����,特點是安裝簡單,容易使用�����,成本低。但它的缺點也是顯而易見的����,因為它必須安裝在Web應用服務器上,除了性能受到限制外���,還可能會存在兼容性��、安全等問題�����。這類WAF的代表有ModSecurity�、Naxsi��、網(wǎng)站安全狗等���。
3.基于云的WAF:隨著云計算技術的快速發(fā)展����,使得其于云的WAF實現(xiàn)成為可能����。國內(nèi)創(chuàng)新工場旗下的安全寶����、360的網(wǎng)站寶是這類WAF的典型代表��。它的優(yōu)點是快速部署��、零維護����、成本低。對于中����、小型的企業(yè)和個人站長是很有吸引力的���。
DDoS攻擊測試工具
1. 盧瓦(LOIC) (Low Orbit Ion Canon):LOTC是一個最受歡迎的DOS攻擊工具���。 這個工具被去年流行的黑客集團匿名者用于對許多大公司的網(wǎng)絡攻擊。它可以通過使用單個用戶執(zhí)行DOS攻擊小型服務器�,工具非常易于使用,即便你是一個初學者�。 這個工具執(zhí)行DOS攻擊通過發(fā)送UDP,TCP或HTTP請求到受害者服務器。 你只需要知道服務器的IP地址或URL��,其他的就交給這個工具吧。
2. XOIC:XOIC是另一個不錯的DOS攻擊工具�。它根據(jù)用戶選擇的端口與協(xié)議執(zhí)行DOS攻擊任何服務器。XOIC開發(fā)者還聲稱XOIC比上面的LOIC在很多方面更強大呢�����。
3. R-U-Dead-Yet:R-U-Dead-Yet是一個HTTP post DOS攻擊工具����。它執(zhí)行一個DOS攻擊長表單字段,通過POST方法提交��。這個工具提供了一個交互式控制臺菜單�,檢測給定的URL,并允許用戶選擇哪些表格和字段應用于POST-based DOS攻擊。
4. OWASP DOS HTTP POST:這是另外一個很好的工具�����。您可以使用這個工具來檢查您的web服務器能否夠捍衛(wèi)得住別人的DOS攻擊�����。當然�,不僅對防御,它也可以用來執(zhí)行DOS攻擊哦。
5. DAVOSET:DAVOSET是另一個很好的執(zhí)行DDOS攻擊工具����。 最新版本的工具新增支持cookie以及許多其他功能。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
