随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势,这就需要我们通过一套安全规范来最大限度的防止黑客攻击的发生。
1、什么是DDoS?
DDOS的中文名叫分布式拒绝服务攻击,是英文Distributed Denial of Service的缩写。
DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;
2、被DDoS攻击时的现象有:
1)被攻击主机上有大量等待的TCP连接;
2)网络中充斥着大量的无用的数据包,源地址为假;
3)制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
4)利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求;
5)严重时会造成系统死机;
3、如何判断是否被DDoS攻击?
可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。
4、攻击运行原理:
5、DDoS攻击一般分为几个阶段?
第一阶段:目标确认。黑客在互联网上锁定一个企业网络的IP地址,如企业的Web服务器,DNS服务器,互联网网关等。
第二个阶段:准备阶段。黑客在这些锁定的计算机中植入日后攻击目标所需的工具。
第三个阶段:实际攻击阶段。黑客将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上,利用预先植入的攻击工具不断向攻击目标发送数据包,使得目标无法处理大量的数据或者频宽被占满。
6、当前主要有三种流行的DDOS攻击:
1)SYN/ACK Flood攻击:通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务。普通防火墙大多无法抵御此种攻击。
2)TCP全连接攻击:通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务。特点是可绕过一般防火墙的防护而达到攻击目的,缺点是僵尸主机的IP是暴露的,因此容易被追踪。
3)刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。特点是可以完全绕过普通的防火墙防护,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
7、怎么抵御DDOS?
1)选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
2)无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用。
3)网络带宽直接决定了能抗受攻击的能力,当前至少要选择100M的共享带宽,最好的是挂在1000M的主干上了。同时也要注意主机上的网卡和交换机的限制大小,因为也会限制速度。
4)在有网络带宽保证的前提下,请尽量提升硬件配置,起关键作用的主要是CPU和内存
5)把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦;或适当放一些不做数据库调用脚本;使用调用数据库脚本的要拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
6)Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个。
7)安装专业抗DDOS防火墙
冰盾抗DDOS防火墙标准防护版 8.2
ddos专防 傲盾防火墙 6.0
天鹰抗DDOS防火墙 2.90
天网防火墙 3.0.0.1010 build1025 个人版
结语
DDoS攻击很狡猾,也很难预防,但是你可以借由以上方式及时减轻这种攻击对网络的影响。面对攻击,你只需要快速地响应和正确的方法,就可以及时发现攻击数据流并将其挡掉。
减小字体
增大字体