DDOS概念
分布式拒绝
服务攻击英文缩写即"Ddos"。
DdoS的攻击方式有很多种,最基本的
DoS攻击就是利用合理的
服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标
CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了
千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的
主机与
网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时候分布式的拒绝
服务攻击手段(DDoS)就应运而生了。你理解了
DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,
用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的
傀儡机(
肉鸡)来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,
黑客占领攻击用的
傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过
路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的
傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
攻击方式
IP Spoofing
IP欺骗攻击是一种
黑客通过向
服务端发送虚假的包以欺骗
服务器的做法。具体说,就是将包中的源
IP地址设置为不存在或不合法的值。
服务器一旦接受到该包便会返回接受请求包,但实际上这个包永远返回不到来源处的计算机。这种做法使
服务器必需开启自己的监听端口不断等待,也就浪费了系统各方面的资源。
LAND attack
这种攻击方式与SYN floods类似,不过在
LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而
死机。
ICMP floods
Application
与前面叙说的攻击方式不同,Application level floods主要是针对应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的网络
服务程序提出无节制的资源申请来迫害正常的网络服务。
编辑本段攻击现象
DDOS防御基础
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时
候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就
更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的
DDOS 攻击是非常有效的。
2、尽量避免 NAT 的使用
[1] 无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用
此技术会较大降低网络通信能力,其实原因很简单,因为 NA T 需要对地址来回转换,转换
过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使
用 NA T,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话, 无论采取什么措施
都很难对抗现在的 SYNFlood 攻击, 当前至少要选择 100M 的共享带宽,最好的当然是挂在
1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽
就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M
的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为
10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击
包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是 CPU 和
内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择
SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一
定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑
客入侵带来不少麻烦,至少到现在为止关于 HTML 的溢出还没出现,新浪、搜狐、网易等
门户网站主要都是静态页面, 若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,
免的遭受攻击时连累主服务器, 当然, 适当放一些不做数据库调用脚本还是可以的, 此外,
最好在需要调用数据库的脚本中拒绝使用代理的访问, 因为经验表明使用代理访问你网站的
80%属于恶意行为。
候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就
更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的
DDOS 攻击是非常有效的。
2、尽量避免 NAT 的使用
[1] 无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用
此技术会较大降低网络通信能力,其实原因很简单,因为 NA T 需要对地址来回转换,转换
过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使
用 NA T,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话, 无论采取什么措施
都很难对抗现在的 SYNFlood 攻击, 当前至少要选择 100M 的共享带宽,最好的当然是挂在
1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽
就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M
的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为
10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击
包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是 CPU 和
内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择
SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一
定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑
客入侵带来不少麻烦,至少到现在为止关于 HTML 的溢出还没出现,新浪、搜狐、网易等
门户网站主要都是静态页面, 若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,
免的遭受攻击时连累主服务器, 当然, 适当放一些不做数据库调用脚本还是可以的, 此外,
最好在需要调用数据库的脚本中拒绝使用代理的访问, 因为经验表明使用代理访问你网站的
80%属于恶意行为。
扫一扫
742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
