DDoS攻擊是一種常見(jiàn)的網(wǎng)絡(luò)攻擊,對(duì)于網(wǎng)絡(luò)或者是服務(wù)器會(huì)造成重大影響。為了防止DDoS攻擊我們可以采取一系列措施,首先我們要了解ddos攻擊是利用什么進(jìn)行攻擊。小編給大家整理這些措施可以幫助組織提高網(wǎng)絡(luò)安全性,減少DDoS攻擊的風(fēng)險(xiǎn)。
ddos攻擊是利用什么進(jìn)行攻擊
利用網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的一些缺陷,采用欺騙和偽裝的策略來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。
DDOS攻擊又稱分布式拒絕服務(wù)攻擊。DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”(被攻擊者入侵過(guò)或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包。
從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī),從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi),導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源。
網(wǎng)絡(luò)攻擊者可向目標(biāo)機(jī)發(fā)送一個(gè)SYN的TCP包,包中的源地址被偽造成目標(biāo)機(jī)的地址。目標(biāo)機(jī)收到包后,會(huì)向自己發(fā)送一個(gè)SYN+ACK的TCP包。然后,目標(biāo)機(jī)將ACK包發(fā)送給自己,這樣就可以自己與自己建立空連接。這個(gè)空連接會(huì)一直持續(xù),直到超時(shí)。
當(dāng)目標(biāo)機(jī)被這樣大量欺騙,建立大量空連接,會(huì)導(dǎo)致被攻擊的機(jī)器死循環(huán),最終耗盡資源而死機(jī)。
怎么防御DDoS攻擊?
網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ),用足夠的機(jī)器、容量去承受攻擊,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略,說(shuō)到底攻防也是雙方資源的比拼,在它不斷訪問(wèn)用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失。相應(yīng)地,投入資金也不小,但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ),需要根據(jù)自身情況做出平衡的選擇。
1. 擴(kuò)充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力,國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M,知名企業(yè)帶寬能超過(guò)1G,超過(guò)100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站,數(shù)量屈指可數(shù)。但DDoS卻不同,攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞,如果控制1000臺(tái)機(jī)器,每臺(tái)帶寬為10M,那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本也是難以承受之痛,國(guó)內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月,買10G帶寬頂一下就是100萬(wàn),因此許多人調(diào)侃拼帶寬就是拼人民幣,以至于很少有人愿意花高價(jià)買大帶寬做防御。
2. 使用硬件防火墻
許多人會(huì)考慮使用硬件防火墻,針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過(guò)對(duì)異常流量的清洗過(guò)濾,可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過(guò)高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過(guò)濾型防火墻修改為主,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應(yīng)用層,防御能力就比較弱了。
3. 選用高性能設(shè)備
除了防火墻,服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上,若是設(shè)備性能成為瓶頸,即使帶寬充足也無(wú)能為力。在有網(wǎng)絡(luò)帶寬保證的前提下,應(yīng)該盡量提升硬件配置。
硬碰硬的防御偏于“魯莽”,通過(guò)架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^(guò)載的流量,通過(guò)接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”,而且對(duì)抗效果良好。
4. 負(fù)載均衡
普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬(wàn)個(gè)鏈接請(qǐng)求,網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性,對(duì)DDoS流量攻擊和CC攻擊都很見(jiàn)效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載,而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后,鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上,減少單個(gè)服務(wù)器的負(fù)擔(dān),整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬(wàn)甚至更多的服務(wù)請(qǐng)求,用戶訪問(wèn)速度也會(huì)加快。
ddos攻擊是利用什么進(jìn)行攻擊在看完文章之后大家就會(huì)清楚知道,當(dāng)前網(wǎng)絡(luò)上最為常見(jiàn)的DDOS攻擊給網(wǎng)絡(luò)造成嚴(yán)重的威脅,但是我們還是可以尋找一些有效措施進(jìn)行防護(hù)。防御DDoS攻擊是互聯(lián)網(wǎng)企業(yè)應(yīng)該知道和學(xué)會(huì)的防御手段。