DDOS概念和防禦基礎

2021-06-17 16:51:35 字數 2958 閱讀 6578

ddos概念

分布式拒絕

服務攻擊英文縮寫即"ddos"。

ddos的攻擊方式有很多種,最基本的

dos攻擊就是利用合理的

服務請求來占用過多的服務資源,從而使合法使用者無法得到服務的響應。

ddos攻擊手段是在傳統的dos攻擊基礎之上產生的一類攻擊方式。單一的dos攻擊一般是採用一對一方式的,當攻擊目標

cpu速度低、記憶體小或者網路頻寬小等等各項指標不高的效能,它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,記憶體大大增加,同時也出現了

千兆級別的網路,這使得dos攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鐘可以傳送3,000個攻擊包,但我的

主機與網路頻寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。

這時候分布式的拒絕

服務攻擊手段(ddos)就應運而生了。你理解了

dos攻擊的話,它的原理就很簡單。如果說計算機與網路的處理能力加大了10倍,

用一台攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?ddos就是利用更多的

傀儡機(

肉雞)來發起進攻,以比從前更大的規模來進攻受害者。

高速廣泛連線的網路給大家帶來了方便,也為ddos攻擊創造了極為有利的條件。在低速網路時代時,

黑客占領攻擊用的

傀儡機時,總是會優先考慮離目標網路距離近的機器,因為經過

路由器的跳數少,效果好。而現在電信骨幹節點之間的連線都是以g為級別的,大城市之間更可以達到2.5g的連線,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的

傀儡機位置可以在分布在更大的範圍,選擇起來更靈活了。

ddos攻擊通過大量合法的請求占用大量網路資源,以達到癱瘓網路的目的。 這種攻擊方式可分為以下幾種:

通過使網路過載來干擾甚至阻斷正常的網路

通訊;通過向

伺服器提交大量請求,使伺服器超負荷;

阻斷某一使用者訪問

伺服器;

阻斷某服務與特定系統或個人的

通訊。ip欺騙攻擊是一種

黑客通過向

服務端傳送虛假的包以欺騙

伺服器的做法。具體說,就是將包中的源

ip位址設定為不存在或不合法的值。

伺服器一旦接受到該包便會返回接受請求包,但實際上這個包永遠返回不到**處的計算機。這種做法使

伺服器必需開啟自己的監聽埠不斷等待,也就浪費了系統各方面的資源。

這種攻擊方式與syn floods類似,不過在

land attack攻擊包中的原位址和目標位址都是攻擊物件的ip。這種攻擊會導致被攻擊的機器死迴圈,最終耗盡資源而

宕機。icmpfloods是通過向未良好設定的

路由器傳送廣播資訊占用系統資源的做法。

服務程式提出無節制的資源申請來**正常的網路服務。

被攻擊主機上有大量等待的tcp連線;

網路中充斥著大量的無用的

資料報;

源位址為假 製造高流量無用資料,造成

網路擁塞,使受害

主機無法正常和外界

通訊;利用受害

主機提供的

傳輸協議上的缺陷反覆高速的發出特定的

服務請求,使主機無法處理所有正常請求;

嚴重時會造成系統

宕機。1、採用高效能的網路裝置[1]

首先要保證網路裝置不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等裝置的時

候要盡量選用知名度高、 口碑好的產品。 再就是假如和網路提供商有特殊關係或協議的話就

更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的

ddos 攻擊是非常有效的。

2、盡量避免 nat 的使用

[1]無論是路由器還是硬體防護牆裝置要盡量避免採用網路位址轉換 nat 的使用, 因為採用

此技術會較大降低網路通訊能力,其實原因很簡單,因為 na t 需要對位址來回轉換,轉換

過程中需要對網路包的校驗和進行計算,因此浪費了很多 cpu 的時間,但有些時候必須使

用 na t,那就沒有好辦法了。

3、充足的網路頻寬保證

網路頻寬直接決定了能抗受攻擊的能力, 假若僅僅有 10m 頻寬的話, 無論採取什麼措施

都很難對抗現在的 synflood 攻擊, 當前至少要選擇 100m 的共享頻寬,最好的當然是掛在

1000m 的主幹上了。但需要注意的是,主機上的網絡卡是 1000m 的並不意味著它的網路頻寬

就是千兆的, 若把它接在 100m 的交換機上, 它的實際頻寬不會超過 100m, 再就是接在 100m

的頻寬上也不等於就有了百兆的頻寬, 因為網路服務商很可能會在交換機上限制實際頻寬為

10m,這點一定要搞清楚。

4、公升級主機伺服器硬體

在有網路頻寬保證的前提下,請盡量提公升硬體配置,要有效對抗每秒 10 萬個 syn 攻擊

包,伺服器的配置至少應該為:p4 2.4g/ddr512m/scsi-hd,起關鍵作用的主要是 cpu 和

記憶體, 若有志強雙 cpu 的話就用它吧, 記憶體一定要選擇 ddr 的高速記憶體, 硬碟要盡量選擇

scsi 的,別只貪 ide **不貴量還足的便宜,否則會付出高昂的效能代價,再就是網絡卡一

定要選用 3com 或 intel 等名牌的,若是 realtek 的還是用在自己的 pc 上吧。

5、把**做成靜態頁面

大量事實證明,把**盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑

門戶**主要都是靜態頁面, 若你非需要動態指令碼呼叫, 那就把它弄到另外一台單獨主機去,

免的遭受攻擊時連累主伺服器, 當然, 適當放一些不做資料庫呼叫指令碼還是可以的, 此外,

最好在需要呼叫資料庫的指令碼中拒絕使用**的訪問, 因為經驗表明使用**訪問你**的

80%屬於惡意行為。

如何防禦ddos ?

ddos是利用一批受控制的機器向一台機器發起,這樣來勢迅猛的令人難以防備,因此具有較大的破壞性。如果說以前網路管理員對抗dos可以採取過濾ip位址方法的話,那麼面對當前ddos眾多偽造出來的位址則顯得沒有辦法。所以說防範ddos變得更加困難,如何採取措施有效的應對呢?下面是一些對付它的常規方法 1 ...

防禦DDOS攻擊

伺服器防禦ddos攻擊有什麼比較好的方法,其實這種攻擊一般來說是一種兩敗俱傷的局面,想要發起這麼一場大規模的攻擊作為黑客來說要承擔非常大的損失,因為要調動這麼多的ip位址同一時間去訪問某乙個伺服器的ip位址,這本身就需要非常強大的能量才可以辦得到,所以這種攻擊一般只是針對一些有價值的目標,而那些沒有...

DDOS和cc攻擊的防禦

ddos和cc攻擊的防禦 author headsen chen 2017 10 21 10 47 39 ddos攻擊形式 黑客挾持多個電腦 肉雞 一起對某個伺服器傳送資料報,以達到消耗完伺服器頻寬的目的,消耗資源 ddos 分布式拒絕服務攻擊 輸入傳輸層的安全問題 當你的伺服器遭受到ddos攻擊時...