DDoS的攻击原理和防护

 　　据媒体报道，8月25日晚锤子科技新品牌坚果第一款手机公布。然而在发布会开始不久，其官网就遭遇了大规模的DDoS攻击，流量攻击超过IDC提供商防御能力。DDoS攻击是当下互联网中最常见的攻击手段，据Akamai技术公司发布的数据报告显示2015年第二季度DdoS攻击量相比2014年第二季度翻了一倍以上，大规模攻击持续上升。

 

　　DDoS(Distributed Denial of Service)是一种分布式拒绝服务攻击，借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，从而对目标发动拒绝服务攻击的技术。这种攻击相对其他攻击手段更难防御。

 

　　目前存在有许多类型的DDoS攻击手段，其中最流行的有以下几种:

 

　　SYN/ACK Flood攻击

 

　　这种攻击方法是经典最有效的DDOS方法，通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。

 

　　少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

 

　　TCP全连接攻击

 

　　这是第二种攻击方式,这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的。殊不知很多WEB服务程序能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问。

 

　　TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务。这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪

 

　　CC攻击

 

　　现在来讲第三种攻击方式，这种攻击方式实质上是针对ASP,PHP,JSP等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的。特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。

 

　　DDoS攻击的危害很大，而且很难防范。目前没有哪个网络可以免受DDoS攻击，但我们可以通过采取一些措施，起到一定的预防作用：

 

　　1.采用高性能的网络设备。首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

 

　　2.充足的网络带宽。网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击。当前至少要选择100M的共享带宽。

 

　　3.安装专业的抗DDOS防火墙。比如冰盾专业抗DDOS防火墙。

 

　　面对DDoS这样的网络攻击，租用服务器建站的企业有必要了解DdoS的攻击原理和常见防护手段，才能选择高性能的服务器，为自己的网站安全保驾护航。

来源链接：https://www.idcspy.com/ddos-attack-and-defense.html

本站声明:网站内容来源于网络,如有侵权,请联系我们,我们将及时处理。