常见的DDos攻击(ddos基本攻击)
什么是CC攻擊,與DDOS的區別?
DDoS
全稱:分布式拒絕服務(DDoS:DistributedDenialofService)該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源,使得該目標系統無法提供正常的服務。
拒絕服務攻擊問題一直得不到合理的解決,目前還是世界性難題,究其原因是因為這是由于網絡協議本身的安全缺陷造成的。
DDoS攻擊打的是網站的服務器,而CC攻擊是針對網站的頁面攻擊的。
CC
全稱:ChallengeCollapsar,中文意思是挑戰黑洞,因為以前的抵抗DDoS攻擊的安全設備叫黑洞,顧名思義挑戰黑洞就是說黑洞拿這種攻擊沒辦法,新一代的抗DDoS設備已經改名為ADS(Anti-DDoSSystem),基本上已經可以完美的抵御CC攻擊了。
CC攻擊的原理是通過代理服務器或者大量肉雞模擬多個用戶訪問目標網站的動態頁面,制造大量的后臺數據庫查詢動作,消耗目標CPU資源,造成拒絕服務。
CC不像DDOS可以用硬件防火墻過濾,CC攻擊本身就是正常請求。建議中小型網站采用靜態頁面的方式,減少了對數據庫的交互,CPU消耗少。
以上分析可以看出,ddos攻擊和cc攻擊區別主要是針對對象的不同。DDoS是主要針對IP的攻擊,而CC攻擊的主要是網頁。CC攻擊相對來說,攻擊的危害不是毀滅性的,但是持續時間長;而ddos攻擊就是流量攻擊,這種攻擊的危害性較大,通過向目標服務器發送大量數據包,耗盡其帶寬,更難防御。
在了解ddos攻擊和cc攻擊的區別和原理之后,剩下的就是防御了。要知道網站被攻擊防不勝防,但是我們平時可以做一些防護措施來預防網站攻擊,或者減少網站攻擊帶來的危害。如果網站規模不大,自身防御能力非常弱,又沒有太多的資金投入,那么選擇ddos.cc這樣的就是最好的選擇。
ddos攻擊防護思路?
1、采用高性能的網絡設備
首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要
盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好
了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDOS攻
擊是非常有效的。2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設備要盡量避免采用網絡地址轉換NAT的使用,因為采用此
技術會較大降低網絡通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過
程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用
NAT,那就沒有好辦法了。3、充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都
很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在
1000M的主干上了。但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬
就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M
的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為
10M,這點一定要搞清楚。4、升級主機服務器硬件
在有網絡帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,
服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,
若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,
別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用
3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。5、把網站做成靜態頁面
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入
侵帶來不少麻煩,至少到現在為止關于HTML的溢出還沒出現,看看吧!新浪、搜狐、網易
等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一臺單獨主機
去,免的遭受攻擊時連累主服務器,當然,適當放一些不做數據庫調用腳本還是可以的,此
外,最好在需要調用數據庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網
站的80%屬于惡意行為。6、增強操作系統的TCP/IP棧
Win2000和Win2003作為服務器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是
默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能
抵御數百個,具體怎么開啟,自己去看微軟的文章吧!《強化TCP/IP堆棧安全》。
也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN
Cookies》。7、安裝專業抗DDOS防火墻
8、其他防御措施
以上幾條對抗DDOS建議,適合絕大多數擁有自己主機的用戶,但假如采取以上措施后仍然
不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務器數量并采用DNS輪
巡或負載均衡技術,甚至需要購買七層交換機設備,從而使得抗DDOS攻擊能力成倍提高,
只要投資足夠深入。
1.簡述防火墻的體系結構2.簡述DDos攻擊過程3.簡述Failover的工作原理4.簡述防火墻基本接口有哪些?
防火墻的結構:1.雙宿主機體系結構2.被屏蔽主機體系結構3.被屏蔽子網體系結構
ddos是物理攻擊嘛?
是物理攻擊,不同位置的電腦同時攻擊一臺服務器,使得服務無法響應
總結
以上是生活随笔為你收集整理的常见的DDos攻击(ddos基本攻击)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 如何编写自己的Java / Scala调
- 下一篇: 意外险备案登记需要什么材料(意外险备案)