ddos攻击无法防御(ddos攻击难以防御)
ddos攻擊防護(hù)思路?
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時候要
盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好
了,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某些種類的DDOS攻
擊是非常有效的。2、盡量避免NAT的使用
無論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因為采用此
技術(shù)會較大降低網(wǎng)絡(luò)通信能力,其實(shí)原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過
程中需要對網(wǎng)絡(luò)包的校驗和進(jìn)行計算,因此浪費(fèi)了很多CPU的時間,但有些時候必須使用
NAT,那就沒有好辦法了。3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都
很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在
1000M的主干上了。但需要注意的是,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬
就是千兆的,若把它接在100M的交換機(jī)上,它的實(shí)際帶寬不會超過100M,再就是接在100M
的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為
10M,這點(diǎn)一定要搞清楚。4、升級主機(jī)服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,
服務(wù)器的配置至少應(yīng)該為:P42.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,
若有志強(qiáng)雙CPU的話就用它吧,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,
別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用
3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。5、把網(wǎng)站做成靜態(tài)頁面
大量事實(shí)證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入
侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易
等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨(dú)主機(jī)
去,免的遭受攻擊時連累主服務(wù)器,當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此
外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因為經(jīng)驗表明使用代理訪問你網(wǎng)
站的80%屬于惡意行為。6、增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是
默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能
抵御數(shù)百個,具體怎么開啟,自己去看微軟的文章吧!《強(qiáng)化TCP/IP堆棧安全》。
也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN
Cookies》。7、安裝專業(yè)抗DDOS防火墻
8、其他防御措施
以上幾條對抗DDOS建議,適合絕大多數(shù)擁有自己主機(jī)的用戶,但假如采取以上措施后仍然
不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪
巡或負(fù)載均衡技術(shù),甚至需要購買七層交換機(jī)設(shè)備,從而使得抗DDOS攻擊能力成倍提高,
只要投資足夠深入。
什么是DDOS攻擊?它的原理是什么?它的目的是什么?越詳細(xì)越好!謝謝?
網(wǎng)站最頭痛的就是被攻擊,常見的服務(wù)器攻擊方式主要有這幾種:端口滲透、端口滲透、密碼破解、DDOS攻擊。其中,DDOS是目前最強(qiáng)大,也是最難防御的攻擊方式之一。
那什么是DDOS攻擊呢?
攻擊者向服務(wù)器偽造大量合法的請求,占用大量網(wǎng)絡(luò)帶寬,致使網(wǎng)站癱瘓,無法訪問。其特點(diǎn)是,防御的成本遠(yuǎn)比攻擊的成本高,一個黑客可以輕松發(fā)起10G、100G的攻擊,而要防御10G、100G的成本卻是十分高昂。
DDOS攻擊最初人們稱之為DOS(Denial of Service)攻擊,它的攻擊原理是:你有一臺服務(wù)器,我有一臺個人電腦,我就用我的個人電腦向你的服務(wù)器發(fā)送大量的垃圾信息,擁堵你的網(wǎng)絡(luò),并加大你處理數(shù)據(jù)的負(fù)擔(dān),降低服務(wù)器CPU和內(nèi)存的工作效率。
不過,隨著科技的進(jìn)步,類似DOS這樣一對一的攻擊很容易防御,于是DDOS—分布式拒絕服務(wù)攻擊誕生了。其原理和DOS相同,不同之處在于DDOS攻擊是多對一進(jìn)行攻擊,甚至達(dá)到數(shù)萬臺個人電腦在同一時間用DOS攻擊的方式攻擊一臺服務(wù)器,最終導(dǎo)致被攻擊的服務(wù)器癱瘓。
DDOS常見三種攻擊方式
SYN/ACK Flood攻擊:最為經(jīng)典、有效的DDOS攻擊方式,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)。主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù),由于源都是偽造的故追蹤起來比較困難,缺點(diǎn)是實(shí)施起來有一定難度,需要高帶寬的僵尸主機(jī)支持。
TCP全連接攻擊:這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的,一般情況下,常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力,但對于正常的TCP連接是放過的,殊不知很多網(wǎng)絡(luò)服務(wù)程序(如:IIS、Apache等Web服務(wù)器)能接受的TCP連接數(shù)是有限的,一旦有大量的TCP連接,即便是正常的,也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接,直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨,從而造成拒絕服務(wù),這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的,缺點(diǎn)是需要找很多僵尸主機(jī),并且由于僵尸主機(jī)的IP是暴露的,因此此種DDOS攻擊方式容易被追蹤。
刷Script腳本攻擊:這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法。
如何防御DDOS攻擊?
總體來說, 可以從硬件、單個主機(jī)、整個服務(wù)器系統(tǒng)三方面入手。
一、硬件
1. 增加帶寬
帶寬直接決定了承受攻擊的能力,增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本非常高。
2、提升硬件配置
在有網(wǎng)絡(luò)帶寬保證的前提下,盡量提升CPU、內(nèi)存、硬盤、網(wǎng)卡、路由器、交換機(jī)等硬件設(shè)施的配置,選用知名度高、 口碑好的產(chǎn)品。
3、 硬件防火墻
將服務(wù)器放到具有DDoS硬件防火墻的機(jī)房。專業(yè)級防火墻通常具有對異常流量的清洗過濾功能,可對抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊
二、單個主機(jī)
1、及時修復(fù)系統(tǒng)漏洞,升級安全補(bǔ)丁。
2、關(guān)閉不必要的服務(wù)和端口,減少不必要的系統(tǒng)加載項及自啟動項,盡可能減少服務(wù)器中執(zhí)行較少的進(jìn)程,更改工作模式
3、iptables
4、嚴(yán)格控制賬戶權(quán)限,禁止root登錄,密碼登錄,修改常用服務(wù)的默認(rèn)端口
三、整個服務(wù)器系統(tǒng)
1. 負(fù)載均衡
使用負(fù)載均衡將請求被均衡分配到各個服務(wù)器上,減少單個服務(wù)器的負(fù)擔(dān)。
2、CDN
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過中心平臺的分發(fā)、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡(luò)擁塞,提高用戶訪問響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無限流量的限制,CDN則更加理智,多節(jié)點(diǎn)分擔(dān)滲透流量,目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,再加上硬防的防護(hù),可以說能應(yīng)付目絕大多數(shù)的DDoS攻擊了。
3. 分布式集群防御
分布式集群防御的特點(diǎn)是在每個節(jié)點(diǎn)服務(wù)器配置多個IP地址,并且每個節(jié)點(diǎn)能承受不低于10G的DDoS攻擊,如一個節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài)。
cpu滿載是什么攻擊?
你是說云服務(wù)器嗎?如果是云服務(wù)器CPU內(nèi)存占滿的話應(yīng)該是CC攻擊的。CC攻擊是針對Web服務(wù)在第七層協(xié)議發(fā)起的攻擊,在越上層協(xié)議上發(fā)動DDoS攻擊越難以防御,上層協(xié)議與業(yè)務(wù)關(guān)聯(lián)愈加緊密,防御系統(tǒng)面臨的情況也會更復(fù)雜。
比如CC攻擊中最重要的方式之一HTTPFlood,不僅會直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢,對承載的業(yè)務(wù)造成致命的影響,還可能會引起連鎖反應(yīng),間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫服務(wù)。
由于CC攻擊成本低、威力大,所以互聯(lián)網(wǎng)上80%的DDoS攻擊都是CC攻擊。
如何應(yīng)對大流量攻擊?
購買CDN加速服務(wù),把流量泄掉就好了,攻擊者也需要成本,最終是消耗戰(zhàn)。
總結(jié)
以上是生活随笔為你收集整理的ddos攻击无法防御(ddos攻击难以防御)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 查看端口占用的命令(查看端口占用linu
- 下一篇: 节能备案公司有哪些(节能备案公司)