上圖就是DDoS攻擊的原理����,它能在短時間內(nèi)對攻擊目標發(fā)起大量的訪問請求,試圖耗盡攻擊目標的網(wǎng)絡(luò)資源或服務(wù)器資源��,讓攻擊目標的網(wǎng)絡(luò)陷入癱瘓或者服務(wù)器無法響應(yīng)正常的訪問請求��,并最終造成攻擊目標網(wǎng)站的實質(zhì)性無法訪問����。
DDoS攻擊具體有哪些類型?
從技術(shù)角度來講���,DDoS攻擊不是一種單純的網(wǎng)絡(luò)流量攻擊�,而是一大類網(wǎng)絡(luò)流量攻擊的總稱,它有多種類型�,包括:SYN Flood流量攻擊 、ACK流量攻擊�����、TCP Flood流量攻擊���、UDP Flood流量攻擊����、 ICMP Flood流量攻擊等����,以及其他變種類型的攻擊。
SYN Flood是當前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一�����,這是一種利用TCP協(xié)議缺陷�,發(fā)送大量偽造的TCP連接請求�,使被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。
ACK Flood的攻擊跟上面這個SYN的攻擊差不多�����,都是同樣采用發(fā)送數(shù)據(jù)包到服務(wù)器端去,攻擊者利用ACK數(shù)據(jù)包進行攻擊���,只要服務(wù)器接受ACK的包�����,那么就會造成ACK連接過多導致服務(wù)器資源耗盡���,服務(wù)器沒有多余的資源來接收ACK的包,服務(wù)器就無法打開了���。
TCP Flood是一種針對TCP/IP協(xié)議發(fā)起的攻擊����,其明顯特征是被攻擊者的主機上存在大量的TCP連接���,TCP洪水屬于DDOS的一種���,其威力比其他DDOS種類要強很多,因為它是基于連接的��,而不是單純的數(shù)據(jù)包攻擊,所以被攻擊者的主機很快癱瘓����,如果黑客肉雞夠多的話,可以攻下一個網(wǎng)站��,TCP 3次握手順序是攻擊者發(fā)送帶有SYN標志的數(shù)據(jù)包到被害者���,然后被害者再返回一個帶有ACK�����。
UDP Flood是屬于UDP協(xié)議中的一種流量攻擊����,攻擊特征是偽造大量的真實IP并發(fā)送小數(shù)量的數(shù)據(jù)包對要攻擊的服務(wù)器進行發(fā)送����,只要服務(wù)器開啟UDP的端口就會受到流量攻擊。如何防御這種流量攻擊���,對UDP的包數(shù)據(jù)大小進行設(shè)置���,嚴格把控發(fā)送的數(shù)據(jù)包大小,超過一定值的數(shù)據(jù)包進行丟棄��,再一個防御的方法是只有建立了TCP鏈接的IP���,才能發(fā)送UDP包���,否則直接屏蔽該IP。
ICMP Flood是利用ICMP協(xié)議對服務(wù)器進行PING的攻擊���,放大icmp的長度��,以及數(shù)據(jù)包的字節(jié)對服務(wù)器進行攻擊�����。TCP-flood攻擊是一種使用tcp三次握手協(xié)議的一種方式來進行的攻擊����,攻擊特種是偽造大量的真實IP去連接要攻擊的服務(wù)器��,導致服務(wù)器無法承載更多的TCP連接而導致服務(wù)器癱瘓�����。
服務(wù)器應(yīng)對DDoS攻擊的方法和策略
在這里給大家分享一些服務(wù)器能夠應(yīng)對和緩解DDoS攻擊的方法與策略���,以供大家參考�����、借鑒����。
一�、確保服務(wù)器系統(tǒng)安全
1、確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時更新系統(tǒng)補丁����。
2、管理員需對所有主機進行檢查�,知道訪問者的來源。
3�、關(guān)閉不必要的服務(wù):在服務(wù)器上刪除未使用的服務(wù),關(guān)閉未使用的端口�����。
4、限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的time out 時間,限制SYN/ICMP流量�����。
5��、正確設(shè)置防火墻���,在防火墻上運行端口映射程序或端口掃描程序。
6���、認真檢查網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志����。只要日志出現(xiàn)漏洞或是時間變更,那這臺機器就可能遭到了攻擊���。
7�、限制在防火墻外與網(wǎng)絡(luò)文件共享����。這樣會給黑客截取系統(tǒng)文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能無疑會陷入癱瘓��。
二、其他的一些防御方法和措施
1��、 隱藏服務(wù)器真實IP
服務(wù)器防御DDoS攻擊最根本的措施就是隱藏服務(wù)器真實IP地址�����。當服務(wù)器對外傳送信息時就可能會泄露IP����,例如,我們常見的使用服務(wù)器發(fā)送郵件功能就會泄露服務(wù)器的IP����。
因而,我們在發(fā)送郵件時���,需要通過第三方代理發(fā)送��,這樣子顯示出來的IP是代理IP���,因而不會泄露真實IP地址。在資金充足的情況下�,可以選擇高防服務(wù)器,且在服務(wù)器前端加CDN中轉(zhuǎn)�,所有的域名和子域都使用CDN來解析�����。
2���、 關(guān)閉不必要的服務(wù)或端口
這也是服務(wù)器運維人員最常用的做法。在服務(wù)器防火墻中��,只開啟使用的端口����,比如網(wǎng)站web服務(wù)的80端口����、數(shù)據(jù)庫的3306端口、SSH服務(wù)的22端口等����。關(guān)閉不必要的服務(wù)或端口,在路由器上過濾假IP����。
3、 購買高防提高承受能力
該措施是通過購買高防的盾機���,提高服務(wù)器的帶寬等資源�,來提升自身的承受攻擊能力。對于普通中小企業(yè)甚至不合適�,且不被攻擊時造成服務(wù)器資源閑置,所以這里不過多闡述��。
4�、 限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣��,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時�,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵��。早期通過限制SYN/ICMP流量是最好的防范DOS的方法�����,雖然目前該方法對于防御DDoS攻擊的效果不太明顯了���,不過仍然能夠起到一定的作用���。
5、 提供余量帶寬
通過服務(wù)器性能測試���,評估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)����。在購買帶寬時確保有一定的余量帶寬,可以避免遭受攻擊時帶寬大于正常使用量而影響正常用戶的情況���。
6����、 高防CDN�����。
CDN的英文全名是內(nèi)容分發(fā)網(wǎng)絡(luò)�����。通過部署在網(wǎng)絡(luò)上不同地方的邊緣節(jié)點服務(wù)器�����,能夠讓用戶以最短的距離和時間獲得其需要的內(nèi)容���,從而避免單節(jié)點帶來的網(wǎng)絡(luò)擁堵和信息延遲�����。正是因為CDN在全網(wǎng)都能布置節(jié)點���,并且可以隱藏原服務(wù)器IP地址的功能,CDN除了可以用來加速網(wǎng)絡(luò)服務(wù)外�,還能用來當高防服務(wù)器使用。相比臨時租用高防帶寬�,高防CDN的價格比較便宜。
目前而言�,DDoS攻擊并沒有一勞永逸的根治方法,做不到徹底杜絕和消滅�����,只能采取各種手段在一定程度上減緩攻擊帶來的傷害�。所以平時服務(wù)器的運維工作還是要做好基本的保障。
為了更加精準有效地防御DDoS攻擊��,并降低用戶的防御成本��,防御吧為用戶提供專業(yè)抗DDoS攻擊的高防服務(wù)器�、高防香港服務(wù)器、高防cdn��,具有“超大防護帶寬、超強清洗能力�、全業(yè)務(wù)場景支持” 的特點與優(yōu)勢。采用“智能硬件防火墻 + 流量牽引技術(shù)”�����,并為用戶配置相對應(yīng)的高防IP�����,在用戶面臨DDoS攻擊時�,可精準識別出惡意流量,并將惡意流量引流到高防IP���。惡意流量在高防IP上進行清洗�����、過濾后,高防IP會將正常流量返回給源站IP�,從而達到“防御DDoS攻擊,保證用戶網(wǎng)站正常穩(wěn)定運行”的目的���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
