什么是ddos攻击,如何低成本防御ddos攻击?

DDoS攻击详解与防御策略
最新推荐文章于 2023-09-19 20:11:45 发布
原创 最新推荐文章于 2023-09-19 20:11:45 发布 · 3.8k 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ddos #网络安全 #web安全 #系统安全 #安全架构

DDoS攻击是一种分布式拒绝服务攻击,通过大量请求耗尽服务器资源。常见类型包括畸形报文、UDPFlood、SYNFlood等。防御方法涉及减少暴露面、服务器加固、流量识别及使用CDN和抗DDoS服务。此外,利用前端代理如ServiceWorker也可实现低成本防御。

若干年前读大学时候我接触的第一门专业课是“网络基础课”,还记得第一节课时老师就以ping命令为切入点介绍DDoS攻击,当时还专门告诉我们要念成“D-D-O-S”,而非“D-DOS”。

时至今日,DDoS攻击依然是网络系统所面临的主要威胁之一,今天,我们就来详细聊聊。

目录

一、什么是DDOS攻击

二、DDOS攻击用途

三、DDOS攻击原理

四、DDOS攻击种类

五、常见ddos攻击

5.1、畸形报文

5.2、udp flood

5.3、icmp flood

5.4、syn flood

5.5、ack flood

5.6、udp reflect

5.7、ssl flood

5.8、http flood

六、如何防御DDOS攻击

6.1、减少暴露面

6.2、服务器安全加固

6.3、及时止损

6.4、识别异常流量

6.5、syn flood

6.6、ack/fin/rst flood

6.7、畸形报文

6.8、其他

七、低成本DDOS攻击防御手段

7.1、前端代理

7.2、离线访问

7.3、免费节点

7.4、演示

7.5、接口防御

一、什么是DDOS攻击

DDoS是Distributed Denial of Service的缩写,即分布式拒绝服务。

  • 拒绝服务:就是用某种技术手段让被攻击的服务器资源耗尽,拒绝正常请求;
  • 分布式:可以理解成多台计算机联合起来作为一个攻击平台;

简单来说是向服务器同时发布大量请求,让被攻击的服务器资源耗尽,服务器资源当然包括计算、网络、存储等,也就是通过一些手段使得服务器的计算性能达到上限、网络带宽被占满或者存储空间被用完,这样服务器就无法响应正常的请求了。

二、DDOS攻击用途

DDoS的用途非常广泛,是敲诈勒索、破坏竞争对手经营的一把利刃,甚至可以被用于提高网络游戏的胜率。

2020年1月,育碧游戏纽约地区法院起诉就DDoS攻击服务商,DDoS攻击服务商为玩家提供“炸房”服务,即玩家可以在一局游戏快失利之时对游戏服务器发动DDoS攻击,造成服务器卡顿,导致本局服务无效。

“炸房”在国内也不是新鲜的话题。2019年,暴雪旗下的游戏《守望先锋》中国运营团队配合上海公安等执法机关,对《守望先锋》游戏中性质恶劣的“炸房外挂”进行重点打击。

在2017年,腾讯旗下《英雄联盟》运营团队对2189名玩家因为使用“炸房”程序被全服封号。

三、DDOS攻击原理

如上所述,ddos攻击的目的是为了让被攻击的服务器资源耗尽,服务器资源当然包括计算、网络、存储等,也就是通过一些手段使得服务器的计算性能达到上限、网络带宽被占满或者存储空间被用完,这样服务器就无法响应正常的请求了。

四、DDOS攻击种类

大家肯定都熟悉OSI七层模型,ddos攻击最常出现在第三层(网络层)、第四层(传输层)、第六层(表示层)和第七层(应用层)。

第三层和第四层的ddos攻击一般被统称为基础设施层攻击,一般通过模拟大量三四层的报文如icmp、udp、tcp来让服务器进行响应,从而达到消耗服务器资源的目的。

这种攻击是最常见的,也是最简单的,甚至开源了很多工具如hping3来模拟这种ddos攻击。

正因为这类攻击有一些独有的特性,也使得开发者可以比较容易的识别出这类攻击从而进行防范。

第六层和第七层的ddos攻击一般可以归为应用层攻击,这类攻击通过模拟应用层的请求如http来让服务器进行响应。

这类攻击没有第一类常见,因为攻击者必须了解服务端应用程序工作方式,需要构造更加复杂的请求,比如某登陆页的http请求、某dns服务器的dns请求。

这一类攻击都是正常的请求,所以也更难防范。

五、常见ddos攻击

5.1、畸形报文

这种攻击有一点以巧取胜的意思,它并不需要很大的数量,也许只需要一个特殊的报文就可以导致服务器的崩溃。所谓畸形报文,就是指那些不符合协议规定的报文,比如tcp头的SYN、RST标志位都置1的报文;比如ip头例源地址和目的地址都是同一个的报文等等。

5.2、udp flood

攻击者利用udp无状态的特点,向服务器的不同端口发送udp报文,服务器收到之后会寻找对应端口的应用程序,如果没有找到,会返回“目标不可达”的消息。攻击者往往会通过伪造源ip来达到隐藏自己身份的目的。这种攻击方法以量取胜,一旦服务器被攻击流量淹没,那就无法响应正常用户的请求。

5.3、icmp flood

攻击者想服务器发送大量icmp报文,服务器收到之后会回复一个icmp echo给源地址。这种攻击和上面的udp flood攻击类似,可以看到攻击请求和服务器响应流量是1:1的关系,“性价比”并不高,现在已经很少看到了。

5.4、syn flood

最常见最知名的一种攻击,它的防御方法甚至被写进了linux内核。攻击者利用了三次握手的机制,发送大量第一次握手的syn包给服务器,并且无视服务器返回第二次握手的synack包,故意不发送第三次握手,导致服务器大量端口处于SYN_RECV状态。由于服务器收不到第二次握手的报文,超时重传,重传一定次数之后,才会释放连接。服务器的这个状态我们一般称为半连接,要知道服务器能每收到一个syn包时,都会将连接信息储存到一个队列中,这个队列肯定也是有长度的,当超过队列长度时,新来的syn包就无法被响应,服务器也就无法响应正常的tcp请求了。

5.5、ack flood

攻击者向服务器发送大量ack标志位置1的报文,服务器收到后,会在协议栈判断报文是否合法(是否有该四元组的连接,序列号是否正常等等),如果不合法,服务器会返回一个rst报文。跟这种攻击比较类似的还有rst flood和fi

最低0.47元/天 解锁文章
白袍万里
关注
如何低成本防御网站的 DDOS 攻击
MSB_WLAQ的博客
10-08 768
前言 传统的 DDOS 防御通常使用“硬抗”的方式,导致开销很大,而且有时效果并不好。例如使用 DNS 切换故障 IP 的方案,由于域名会受到缓存等因素的影响通常有分钟级延时,前端难以快速生效。例如使用 CDN 服务,虽可抵挡大多网络层攻击,但对应用层攻击却常有疏漏,攻击者可通过恶意请求消耗流量、日志存储等费用,导致欠费停止服务。例如购买流量清洗等服务,虽然效果不错但费用十分昂贵。 今天分享一种超低成本的网站 DDOS 防御方案 —— 不使用任何后端防御服务,纯前端实现!当然效果也非常极端:如果用户之前
DDoS科普系列:什么是 DDoS 攻击
武恩赐
04-28 9566
什么是 DDoS 攻击? 分布式拒绝服务(DDoS攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,以破坏目标服务器、服务或网络正常流量的恶意行为。 DDoS 攻击利用多台受损计算机系统作为攻击流量来源以达到攻击效果。利用的机器可以包括计算机,也可以包括其他联网资源(如 IoT 设备)。 总体而言,DDoS 攻击好比高速公路发生交通堵塞,妨碍常规车辆抵达预定目的地。 DDoS 攻击的工作原理 DDoS 攻击是通过连接互联网的计算机网络进行的。 这些网络由计算机和其他设备(例如 IoT
DDOS攻击原理及防护方法论
C147258hong的专栏
11-20 1701
文章作者:戴鹏飞  从07年的爱沙尼亚DDOS信息点击打开链接战,到今年广西南宁30个网吧遭受到DDOS勒索,再到新浪网遭受DDOS攻击无法提供对外服务500多分钟。 DDOS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了 12G,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是:利用DDOS攻击手段敲诈
ddos攻击是什么,如何防御
03-19 816
DDoS(Distributed Denial of Service,分布式拒绝服务) 定义: 主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大、最难防御攻击之一。 ddos攻击最大的难点在于攻击者发起的攻击的成本远低于防御的成本。比如黑客可以轻易的控制大量肉鸡发起10G,100G的攻击。而要防御这样的攻击10G,100G带宽的成本却是1...
什么是ddos攻击,怎么防御ddos攻击
热门推荐
yuubeka的博客
03-15 1万+
因为最近要测试antiddos的功能,所以简单了解了一下antiddos是什么 什么是ddos攻击 ddos全称是Distributed Denial of Service,翻译过来就是分布式拒绝服务。拒绝服务呢,就是用某种技术手段让被攻击的服务器资源耗尽,拒绝正常请求;分布式呢,可以理解成多台计算机联合起来作为一个攻击平台。 ddos攻击方法 攻击原理 如上所述,ddos攻击的目的是为了让被攻击的服务器资源耗尽,服务器资源当然包括计算、网络、存储等, ......
低成本ddos防御方案
weixin_35757531的博客
02-11 317
对于低成本DDOS防御方案,您可以考虑以下几种选择: 使用CDN服务:使用内容分发网络(CDN)服务可以抵抗DDOS攻击,因为该服务将您的内容分散到多个服务器上,使攻击者难以瞄准特定的目标。 使用防火墙:使用防火墙可以阻止未经授权的流量进入您的网络,并通过配置规则来防止恶意流量。 利用DDoS防护服务:您可以使用一些专门的DDoS防护服务,例如Akamai Prolexic或Cloudfl...
什么是DDOS攻击?怎么抵抗DDOS攻击
zhendaaaaaaaaaa的博客
04-26 335
什么是DDOS攻击?怎么抵抗DDOS攻击
两阶段防御DDoS攻击
最新发布
10-09
放大式DDoS攻击的原理是利用IP地址伪装和通过反射器进行的流量放大,从而在成本较低的情况下,造成比传统DDoS攻击更大的破坏。攻击者通常会将查询中的源IP地址伪造为目标受害者的地址,从而使得响应流量以更大的...
精选资源
DDoS攻击防御:从原理到实践
02-24
出于打击报复、敲诈勒索、政治需要等各种原因,加上攻击成本越来越低、效果特别明显等趋势,DDoS攻击已经演变成全球性的网络安全威胁。根据卡巴斯基2016Q3的调查报告,DDoS攻击造成61%的公司无法访问其关键业务信息...
什么是DDOS攻击?以及如何防御DDOS攻击
心慕手追人的博客
07-22 2351
什么是DDOS攻击? 所谓的 DDoS 攻击,全称是 Distributed Denial of Service,翻译成中文就是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。在线游戏、互联网金融等领域是 DDoS 攻击的高发行业。 DDOS攻击在现在这个万物互联的时代,其破坏力可以说是厉害的一批。说白了就是一...
深入浅出DDoS攻击防御
ackroyd的专栏
07-30 1764
原文链接:http://www.programmer.com.cn/12874/ 敌情篇 ——DDoS攻击原理 DDoS攻击基础 DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御攻击之一。 按照发起的方式,DDoS可以简单分为三类。
什么是DDOS攻击,该如何防御DDOS攻击
enkjxiaomu的博客
08-04 1637
我们遇到流量攻击该如何处理? 发生在美国东部时间2月28日发生全球史上最大的一次攻击,岁间遭到高达1.35Tbps的流量攻击,不错就是全球最大同性交友网,就是GitHub!。这次 DDoS 攻击可以堪称是互联网有史以来规模最大、威力最大的 DDoS 攻击了。时间并没有因为 GitHub 而停歇,仅仅一个星期以后,DDoS 攻击又开始对谷歌、amazom甚至 Pornhub 等网站进...
低成本实现百 Gbps DDoS/CC 攻击防护
weinnan的博客
07-26 1410
低成本实现百 Gbps DDoS/CC 攻击防护 原创: 小昊@商业化运营 百姓网技术团队 背景介绍 年初启动的公司项目上线后陆续收到各种强度的 DDoS/CC 攻击,其中最大单次攻击流量达(只)到(有) 140Gbps+,这些攻击严重影响了用户的访问体验。 从技术角度来说,150Gbps 的攻击流量业内有很多成熟的解决方案,典型如阿里云的 20Gbps 保底和 150Gbps 弹性防护,开通这...
DOS与DDOS攻击的原理与防范之法
dianlv8134的博客
01-07 439
https://baike.so.com/doc/1771001-1872867.html 转载于:https://www.cnblogs.com/Leonardo-li/p/8231837.html
DDOS到底是什么,怎么预防,看看就明白了
Srsshier的博客
10-21 448
有时被称为第7层DDoS攻击(参照OSI模型的第7层),这些攻击的目标是耗尽目标的资源。一般来说,攻击越复杂,流量就越难以从正常的流量中分离出来——攻击者的目标是尽可能地融入其中,使缓解的效率尽可能低。最简单的形式是,当在没有特定限制条件的情况下实现黑洞过滤时,合法的和恶意的网络流量都被路由到空路由或黑洞并从网络中删除。流量可以在设计上有所不同,从无欺骗的单源攻击到复杂的自适应多矢量攻击。就像将湍急的河流引导到单独的较小的通道上一样,这种方法将分布式攻击流量的影响分散到可以管理的地方,分散了任何破坏能力。
一文解读什么是ddosddos攻击的手段与有哪些防御方法
云加速
11-08 1540
在边缘节点注入安全能力,形成分布式的安全加速网络,让您的业务更安全、体验更流畅。在实际情况中,攻击者只求达到打垮对方的目的,发展到现在,高级攻击者已经不倾向使用单一的攻击手段作战了,而是根据目标系统的具体环境灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻势。因此,“问-答”方式的协议都可以被反射型攻击利用,将质询数据包的地址伪造为攻击目标地址,应答的数据包就会都被发送至目标,一旦协议具有递归效果,流量就被显著放大了,堪称一种“借刀杀人”的流量型攻击
低成本DDoS攻击来袭,看WAF如何绝地防护
m0_70655343的博客
07-24 416
例如,在对抗业务遭受的HTTPfloods恶意流量攻击过程中,除了提取常见的异常IP,Params,UA,Referer,Cookie等特征进行封禁或限速处置外,还会将相关特征进行组合关联,为策略统计与响应处置提供参考。所以对于许多业务而言,这类型的攻击感知可能并不明显,但并不表明这类攻击的危害程度低。另一个是强化WAF的自动化分析能力,对承载业务的目标资产、负载能力、报文特征等数据进行自动化统计分析,输出对应的防护策略,对生产的策略效果进行实时评估、校准,在提升防护效果的同时也能大幅降低策略运营成本。..
DDoS攻击到底是什么意思?
欢迎来到我的博客
09-19 533
DDoS攻击是分布式拒绝服务攻击的简称,是一种通过利用大量的网络设备向目标网站或服务器发送大量的请求或数据包,造成目标无法正常提供服务或者崩溃的网络攻击方式。这类攻击一般也发生在网络层或传输层,也称为第三层/第四层攻击。应用型攻击的例子有HTTP泛洪攻击、CC攻击、慢速连接攻击等。这类攻击主要是通过建立正常的TCP连接,但是以极低的速度发送或接收数据,使得目标无法及时释放连接,导致连接资源耗尽。这类攻击主要是通过模拟正常用户的行为,向目标发送大量的应用层请求,消耗目标的应用程序资源,导致服务降级或停止。
DDoS攻击防御策略详解
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一种恶意网络攻击手段,通过大量请求淹没目标服务器,使其无法处理正常用户的请求,从而导致服务中断。随着互联网的发展,DDoS攻击已经日益成为全球性...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值