专注于大流量DDOS攻击防御,各种变异CC攻击防护,是国内领先的服务器安全防御顶尖专家
当前位置:鬼影工作室 > DDOS防御 > 正文

如何做好防御DDOS攻击

05-17 DDOS防御

 随着互联网带宽的增加和各种DDoS黑客工具的发布,DDoS拒绝服务攻击越来越容易,DDoS攻击呈上升趋势。很多IDC主机房、商业网站、游戏服务器、聊天网络等网络服务提供商,由于商业竞争、报复、网络敲诈等各种因素,长期受到DDoS攻击的困扰,随之而来的是客户投诉、与虚拟主机用户的牵连、法律纠纷、业务损失等一系列问题。因此,解决DDoS攻击成为网络服务提供商的当务之急。DDoS是分布式拒绝服务的英文缩写,意思是分布式拒绝服务,那么什么是拒绝服务呢?可以理解,任何能够导致合法用户无法访问正常网络服务的行为都被视为拒绝服务攻击。也就是说,拒绝服务攻击的目的非常明确,就是阻止合法用户访问正常的网络资源,从而达到攻击者不可告人的目的。虽然也是拒绝服务攻击,但是DDoS和DoS还是不一样的。DDoS的攻击策略侧重于通过众多僵尸主机(被攻击者入侵或间接利用的主机)向受害主机发送大量看似合法的网络数据包,导致网络拥塞或服务器资源耗尽导致拒绝服务。一旦实施分布式拒绝服务攻击,攻击网络数据包就会像洪水一样淹没受害主机,从而淹没合法用户的网络数据包,导致合法用户无法正常访问服务器的网络资源。

 
  常见的DDoS攻击有SYN  Flood、ACK  Flood、UDP  Flood、ICMP  Flood、TCP  Flood、Connections  Flood、Script  Flood、Proxy  Flood等。另一方面,DOS侧重于网络堆栈故障、系统崩溃、主机崩溃,无法提供正常的网络服务功能,导致拒绝服务。常见的拒绝服务攻击包括泪滴,土地,颠簸,IGMP努克,博因克,蓝精灵,邦克,OOB等。就这两种拒绝服务攻击而言,DDoS攻击是危害最大的,因为很难防范。至于DOS攻击,通过对主机服务器打补丁或者安装防火墙软件就可以很好的防范。后面我们会详细介绍如何应对DDoS攻击。第三,是DDoS吗?DDoS主要有两种形式,一种是流量攻击,主要针对网络带宽,即大量的攻击包导致网络带宽被阻塞,合法的网络包被虚假的攻击包淹没,无法到达主机;另一种是资源耗尽攻击,主要针对服务器主机,即大量攻击包导致主机内存耗尽或CPU被内核和应用程序占用,导致无法提供网络服务。当然,这个测试的前提是你和服务器主机之间的ICMP协议没有被路由器、防火墙等设备屏蔽;否则,可以使用Telnet主机服务器的网络服务端口进行测试,效果是一样的。
 
  但是有一点可以肯定,如果平时Ping你的主机服务器和主机服务器连接到同一个交换机是正常的,突然Ping失败或者丢包严重,那么如果网络故障因素可以排除,那一定是遭受了流量攻击。流量攻击的另一个典型现象是,一旦被流量攻击,就会发现网站服务器与远程终端连接失败。相比流量攻击,资源耗尽攻击更容易判断。如果平时Ping网站主机并访问网站很正常,发现网站访问很慢或者突然无法访问,Ping也可以Ping,很可能遭受资源枯竭攻击。此时,如果使用Netstat  -na命令在服务器上观察到大量状态,如SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1,则建立状态非常糟糕。
 
  还有一种资源耗尽攻击现象,就是ping自己的网站主机失败或者丢包严重,而ping和自己的主机在同一个交换机上的服务器是正常的。其原因是系统内核或部分应用的CPU利用率达到100%,网站主机受到攻击后无法响应ping命令。其实还是有带宽的,不然连到同一个交换机的主机就不能ping通了。目前流行的DDoS攻击有三种:1。SYN/ACK  Flood攻击:这种攻击方式是最经典、最有效的DDoS方式,可以扼杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK数据包,导致主机的缓存资源耗尽或忙于发送响应数据包,造成拒绝服务。因为来源都是伪造的,所以很难追踪,但缺点是很难实现,需要高带宽的僵尸主机,这些攻击中的少数会导致主机服务器无法访问,但可以Pinged。在服务器上使用Netstat  -na命令时,会观察到大量SYN_RECEIVED状态。大量的这些攻击会导致ping失败,TCP/IP栈失败,系统就会冻结,也就是不响应键盘鼠标。大多数常见的防火墙都无法抵御这样的攻击。2.TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的。一般来说,大多数传统防火墙都有能力过滤拒绝服务攻击,如泪滴和陆地,但正常的TCP连接是多余的。很多网络服务程序(比如IIS、Apache等Web服务器)可以接受有限的TCP连接。
 
  一旦出现大量TCP连接,即使正常,网站访问也会非常缓慢,甚至无法访问。TCP全连接攻击是指很多僵尸主机不断与受害服务器建立大量TCP连接,直到服务器内存等资源耗尽被拖跨,造成拒绝服务。这种攻击的特点是可以绕过一般防火墙的保护,达到攻击目的。缺点是需要找到很多僵尸主机,而且因为僵尸主机的IP暴露,很容易被跟踪。3.脚本攻击:此攻击主要针对ASP、JSP、PHP、CGI等脚本程序,调用MSSQLServer和MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务。常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。

版权保护: 本文由 鬼影工作室 原创,转载请保留链接: http://www.guiyingw.cn/ddos/94.html