亚洲精品偷拍-亚洲婷婷在线-日日干狠狠干-av电影免费在线观看-99r热-亚洲精品一二三

　　DDOS攻擊是當(dāng)下最常見(jiàn)，也是危害極大的一種網(wǎng)絡(luò)攻擊方式，防DDos攻擊的策略相當(dāng)重要。遭遇DDOS攻擊，將會(huì)對(duì)企業(yè)的業(yè)務(wù)和形象造成嚴(yán)重的影響，如何去做好防攻的措施成為大家關(guān)注的話題趕緊來(lái)收藏起來(lái)吧。

　　防DDos攻擊的策略

　　在探討DDoS之前我們需要先對(duì) DoS 有所了解，DoS泛指黑客試圖妨礙正常使用者使用網(wǎng)絡(luò)上的服務(wù)，例如剪斷大樓的電話線路造成用戶無(wú)法通話。而以網(wǎng)絡(luò)來(lái)說(shuō)，由于頻寬、網(wǎng)絡(luò)設(shè)備和服務(wù)器主機(jī)等處理的能力都有其限制，因此當(dāng)黑客產(chǎn)生過(guò)量的網(wǎng)絡(luò)封包使得設(shè)備處理不及，即可讓正常的使用者無(wú)法正常使用該服務(wù)。例如黑客試圖用大量封包攻擊一般頻寬相對(duì)小得多的撥接或 ADSL 使用者，則受害者就會(huì)發(fā)現(xiàn)他要連的網(wǎng)站連不上或是反應(yīng)十分緩慢。

　　DDoS 則是 DoS 的特例，黑客利用多臺(tái)機(jī)器同時(shí)攻擊來(lái)達(dá)到妨礙正常使用者使用服務(wù)的目的。黑客預(yù)先入侵大量主機(jī)以后，在被害主機(jī)上安裝 DDoS 攻擊程控被害主機(jī)對(duì)攻擊目標(biāo)展開(kāi)攻擊；有些 DDoS 工具采用多層次的架構(gòu)，甚至可以一次控制高達(dá)上千臺(tái)電腦展開(kāi)攻擊，利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)絡(luò)流量以癱瘓攻擊目標(biāo)。早在2000年就發(fā)生過(guò)針對(duì)Yahoo, eBay, Buy 和 CNN 等知名網(wǎng)站的DDoS攻擊，阻止了合法的網(wǎng)絡(luò)流量長(zhǎng)達(dá)數(shù)個(gè)小時(shí)。

　　DDoS 攻擊程序的分類(lèi)，可以依照幾種方式分類(lèi)，以自動(dòng)化程度可分為手動(dòng)、半自動(dòng)與自動(dòng)攻擊。早期的 DDoS 攻擊程序多半屬于手動(dòng)攻擊，黑客手動(dòng)尋找可入侵的計(jì)算機(jī)入侵并植入攻擊程序，再下指令攻擊目標(biāo)；半自動(dòng)的攻擊程序則多半具有 handler 控制攻擊用的agent 程序，黑客散布自動(dòng)化的入侵工具植入 agent 程序，然后使用 handler 控制所有agents 對(duì)目標(biāo)發(fā)動(dòng) DDoS 攻擊；自動(dòng)攻擊更進(jìn)一步自動(dòng)化整個(gè)攻擊程序，將攻擊的目標(biāo)、時(shí)間和方式都事先寫(xiě)在攻擊程序里，黑客散布攻擊程序以后就會(huì)自動(dòng)掃描可入侵的主機(jī)植入 agent 并在預(yù)定的時(shí)間對(duì)指定目標(biāo)發(fā)起攻擊，例如近期的 W32/Blaster 網(wǎng)蟲(chóng)即屬于此類(lèi)。

　　若以攻擊的弱點(diǎn)分類(lèi)則可以分為協(xié)議攻擊和暴力攻擊兩種。協(xié)議攻擊是指黑客利用某個(gè)網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上的弱點(diǎn)或執(zhí)行上的 bug 消耗大量資源，例如 TCP SYN 攻擊、對(duì)認(rèn)證伺服器的攻擊等；暴力攻擊則是黑客使用大量正常的聯(lián)機(jī)消耗被害目標(biāo)的資源，由于黑客會(huì)準(zhǔn)備多臺(tái)主機(jī)發(fā)起 DDoS 攻擊目標(biāo)，只要單位時(shí)間內(nèi)攻擊方發(fā)出的網(wǎng)絡(luò)流量高于目標(biāo)所能處理速度，即可消耗掉目標(biāo)的處理能力而使得正常的使用者無(wú)法使用服務(wù)。

　　若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動(dòng)頻率攻擊兩種。持續(xù)攻擊是當(dāng)攻擊指令下達(dá)以后，攻擊主機(jī)就全力持續(xù)攻擊，因此會(huì)瞬間產(chǎn)生大量流量阻斷目標(biāo)的服務(wù)，也因此很容易被偵測(cè)到；變動(dòng)頻率攻擊則較為謹(jǐn)慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變化，利用這樣的方式延緩攻擊被偵測(cè)的時(shí)間。

　　那么當(dāng)遭受 DDoS 攻擊的時(shí)候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢？由先前的介紹可以知道，若黑客攻擊規(guī)模遠(yuǎn)高于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力，其實(shí)是很難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

　　首先是調(diào)查攻擊來(lái)源，由于黑客經(jīng)由入侵機(jī)器進(jìn)行攻擊，因此你可能無(wú)法查出黑客是由哪里發(fā)動(dòng)攻擊，我們必須一步一步從被攻擊目標(biāo)往回推，先調(diào)查攻擊是由管轄網(wǎng)絡(luò)的哪些邊界路由器進(jìn)來(lái)，上一步是外界哪臺(tái)路由器，連絡(luò)這些路由器的管理者(可能是某個(gè)ISP或電信公司)并尋求他們協(xié)助阻擋或查出攻擊來(lái)源，而在他們處理之前可以進(jìn)行哪些處理呢?

　　如果被攻擊的目標(biāo)皇塹ヒ?ip，那么試圖改個(gè) ip 并更改其 DNS mapping 或許可以避開(kāi)攻擊，這是最快速而有效的方式；但是攻擊的目的就是要使正常使用者無(wú)法使用服務(wù)，更改ip的方式雖然避開(kāi)攻擊，以另一角度來(lái)看黑客也達(dá)到了他的目的。此外，如果攻擊的手法較為單純，可以由產(chǎn)生的流量找出其規(guī)則，那么利用路由器的 ACLs(Access Control Lists)或防火墻規(guī)則也許可以阻擋，若可以發(fā)現(xiàn)流量都是來(lái)自同一來(lái)源或核心路由器，可以考慮暫時(shí)將那邊的流量擋起來(lái)，當(dāng)然這還是有可能將正常和異常的流量都一并擋掉，但至少其它來(lái)源可以得到正常的服務(wù)，這有時(shí)是不得已的犧牲。如果行有余力，則可以考慮增加機(jī)器或頻寬作為被攻擊的緩沖之用，但這只是治標(biāo)不治本的做法。最重要的是必須立即著手調(diào)查并與相關(guān)單位協(xié)調(diào)解決。

　　ddos如何攻擊？

　　攻擊者發(fā)動(dòng)一次DDoS攻擊大概需要經(jīng)過(guò)了解攻擊目標(biāo)、攻占傀儡機(jī)、發(fā)動(dòng)實(shí)際攻擊三個(gè)主要步驟:

　　了解攻擊目標(biāo) 就是首先準(zhǔn)確并且全面地了解攻擊目標(biāo)具體情況,以便對(duì)將要發(fā)動(dòng)的攻擊做到胸有成竹。主要了解的內(nèi)容包括被攻擊目標(biāo)的主機(jī)數(shù)量、IP地址、主機(jī)的配置、主機(jī)的性能以及主機(jī)的帶寬等等。 對(duì)于DDoS攻擊者來(lái)說(shuō),攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn),最重點(diǎn)的是確認(rèn)支持該站點(diǎn)的主機(jī)數(shù)量,一個(gè)大型的網(wǎng)站背后可能會(huì)有很多臺(tái)主機(jī)使用負(fù)載均衡技術(shù)支撐服務(wù)。以上所提到的攻擊目標(biāo)的信息都會(huì)影響到后面兩個(gè)步驟的實(shí)施目標(biāo)和策略。因?yàn)槊つ康匕l(fā)動(dòng)DDoS攻擊成功率是很低的,并且容易暴露攻擊者的身份。

　　攻占傀儡主機(jī) 就是盡可能多地控制“肉雞”機(jī)器,并且在其機(jī)器上安裝相應(yīng)的攻擊程序。在主控機(jī)上安裝控制攻擊的程序,而攻擊機(jī)則安裝DDoS攻擊的發(fā)包程序。成為攻擊者手下肉雞的多數(shù)是那些鏈路狀態(tài)好、性能好同時(shí)安全管理水平差的主機(jī)。攻擊者一般會(huì)利用已有的或者未公布的一些系統(tǒng)或者應(yīng)用軟件漏洞入侵并取得一定的控制權(quán),最基本的是在此主機(jī)上安裝攻擊實(shí)施所需要的程序。 在早期發(fā)動(dòng)DDoS攻擊,攻占傀儡主機(jī)這一步主要是攻擊者自己手動(dòng)完成的,親自掃描網(wǎng)絡(luò)來(lái)發(fā)現(xiàn)安全性較差的主機(jī),將其攻占并且安裝攻擊程序。但是后來(lái)隨著DDoS攻擊和蠕蟲(chóng)的相融合,攻占傀儡機(jī)已變成了一個(gè)自動(dòng)化的過(guò)程,攻擊者只要將蠕蟲(chóng)放入網(wǎng)絡(luò)中,蠕蟲(chóng)就會(huì)在不斷擴(kuò)散中攻占主機(jī),這樣攻占的主機(jī)數(shù)量可以說(shuō)是相當(dāng)大,發(fā)動(dòng)的DDoS攻擊的威力可想而知。

　　發(fā)動(dòng)實(shí)際攻擊 這是DDoS攻擊的最后一個(gè)階段,也是最終目的。攻擊者通過(guò)主控機(jī)向攻擊機(jī)發(fā)出攻擊指令,或者按照原先設(shè)定好的攻擊時(shí)間和目標(biāo),攻擊機(jī)不停的向目標(biāo)發(fā)送大量的攻擊包,來(lái)淹沒(méi)被攻擊者,達(dá)到拒絕服務(wù)的最終目的。 和前兩個(gè)過(guò)程相比,實(shí)際攻擊過(guò)程倒是更簡(jiǎn)單的一個(gè)階段,一些有經(jīng)驗(yàn)的攻擊者可能還會(huì)在攻擊的同時(shí)通過(guò)各種手段檢查攻擊效果,甚至在攻擊過(guò)程中動(dòng)態(tài)調(diào)整攻擊策略,盡可能清除在主控機(jī)和攻擊機(jī)上留下的相關(guān)痕跡。

　　防DDos攻擊的策略假如采取以上措施后仍然不能解決DDOS問(wèn)題，那就需要增加投資去做防攻效果。防止DDOS 攻擊的最重要技巧之一是利用反DDOS 硬件和軟件，在防攻的道路上還是有很多困難需要解決的。