DDos是什么?
DDOS
分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊,是指攻擊者利用大量“肉雞”對攻擊目標發(fā)動大量的正常或非正常請求、耗盡目標主機資源或網(wǎng)絡資源,從而使被攻擊的主機不能為正常用戶提供服務。
DoS
在介紹DDoS之前,需要先簡單介紹一下什么是DoS。
DoS(拒絕服務,Denial of Service)就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。這是早期非常基本的網(wǎng)絡攻擊方式。
舉一個簡單的例子,京東便利店,有三名服務員。然后經(jīng)營的很好,但是呢,某寶看到便利店很賺錢,就想通過一些下作的手段謀取私利。于是他裝扮成普通的客戶,在便利店勾搭店員,影響店員工作,比如問這個多少,那個多少。然后還是不是提供一些虛假的信息,比如缺貨等等。使得店員都被他搞的團團轉。
由于開門做生意,和氣生財,便利店老板東哥也不能直接罵街,不讓他們進。但是由于店內(nèi)的服務員有限,這樣一來,很多其他的顧客就可能受到了冷落。
映射到網(wǎng)站上,道理是一樣的。網(wǎng)站就像京東便利店,對于一個網(wǎng)站來說,他是要搭建在服務上的。而由于硬件資源有限,所以服務能力也是有限的。如果有人頻繁訪問或者長時間占用資源,就會導致其他用戶的體驗有所下降。
這種,利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應的行為,就是DoS攻擊。
在信息安全的三要素——保密性、完整性和可用性中,DoS針對的目標正是可用性。
DDoS
如果只是這某寶的話,只要能夠識別出來,然后阻止他進入店鋪就行了。
隨著某寶被發(fā)現(xiàn)之后,他也想了一個辦法,這次他不再自己一個人跑去店里搗亂了,而是找了一些某貓,而這些無賴每天都換,店鋪里面的服務員根本識別不出來到底誰是惡霸派來的。
無賴們扮作普通客戶一直擁擠在商場,賴著不走,真正的購物者卻無法進入;或者總是和營業(yè)員有一搭沒一搭的東扯西扯,讓工作人員不能正常服務客戶;也可以為商鋪的經(jīng)營者提供虛假信息,商鋪的上上下下忙成一團之后卻發(fā)現(xiàn)都是一場空,最終跑了真正的大客戶,損失慘重。一個無賴去胡鬧,就是 DoS攻擊,而一群無賴去胡鬧,就是 DDoS攻擊。
一般來說,DDoS 攻擊可以具體分成兩種形式:帶寬消耗型以及資源消耗型。它們都是透過大量合法或偽造的請求占用大量網(wǎng)絡以及器材資源,以達到癱瘓網(wǎng)絡以及系統(tǒng)的目的。
DDoS的危害
當服務器被DDos攻擊時,一般會出現(xiàn)以下現(xiàn)象:
被攻擊主機上有大量等待的TCP連接;
網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包;
受害主機無法正常和外界通訊;
受害主機無法處理所有正常請求;嚴重時會造成系統(tǒng)死機。
對于用戶來說,在常見的現(xiàn)象就是網(wǎng)站無法訪問。
DDoS的防范
為了對抗 DDoS攻擊,你需要對攻擊時發(fā)生了什么有一個清楚的理解。簡單來講,DDoS 攻擊可以通過利用服務器上的漏洞,或者消耗服務器上的資源(例如 內(nèi)存、硬盤等等)來達到目的。
一般來說,可以用以下辦法防范:
1、如果可以識別出攻擊源,如機器IP等,可以在防火墻服務器上放置一份 ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。
2、對于帶寬消耗型攻擊,最有效的辦法那就是增加帶寬。
3、提高服務器的服務能力,增加負載均衡,多地部署等。
4、優(yōu)化資源使用提高 web server 的負載能力。例如,使用 apache 可以安裝 apachebooster 插件,該插件與 varnish 和 nginx 集成,可以應對突增的流量和內(nèi)存占用。
5、使用高可擴展性的 DNS 設備來保護針對 DNS 的 DDOS 攻擊。可以考慮購買 Cloudfair 的商業(yè)解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS 攻擊保護。
6、啟用路由器或防火墻的反IP欺騙功能。
7、付費,使用第三方的服務來保護你的網(wǎng)站。
8、監(jiān)控網(wǎng)絡和 web 的流量。時刻觀察流量變化
9、保護好 DNS 避免 DNS 放大攻擊。
對于網(wǎng)絡攻擊,沒有任何辦法徹底阻止和避免 ,只能盡最大努力不斷提高黑客攻擊成本。
總結
- 上一篇: 设置mac的全局命令
- 下一篇: Caused by: java.lang