DDOS攻擊不僅是黑客牟利和商業(yè)競爭的一種方式,還成為網絡對抗的重要手段。且DDoS攻擊很簡單��,任何一個不懂技術的人都可以發(fā)起�,已經成為網站最大的安全威脅,那站長該如何避免呢����?今天小編就為大家做個簡單的介紹。
DDOS攻擊概念:
DDoS攻擊���,也就是分布式拒絕服務(Distributed Denial of Service,簡稱DDoS)�����,攻擊者想辦法讓目標服務器的磁盤空間�����、內存���、進程、網絡帶寬等資源被占滿����,從而導致正常用戶無法訪問���,好比是一個正常的商店��,有人惡意找大量人去排隊但是不買東西,導致其他顧客也無法買到東西��。
攻擊者進行拒絕服務攻擊�����,實際上讓服務器實現(xiàn)兩種效果:一是迫使服務器的緩沖區(qū)滿�,無法接收新的請求;二是使用IP欺騙���,迫使服務器把合法用戶的連接復位,影響合法用戶的連接��。攻擊者是使用傀儡機(俗稱“肉雞”���,受病毒木馬操控的計算機或服務器)作為攻擊平臺,通過大量偽裝合法的請求占用大量網絡資源�,以達到使指定目標的網絡或服務癱瘓中斷���。隨著網絡攻擊手法的進步,攻擊者操控的“傀儡機”不只是計算機電腦���,還有高性能服務器����,甚至還有自愿加入的僵尸網絡�。
DDOS攻擊方式:
SYN/ACK Flood 攻擊:這種攻擊方法是經典最有效的DDoS方法�����,主要是通過向受害主機發(fā)送大量偽造源 IP 和源端口的 SYN 或 ACK 包,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務�����,可通殺各種系統(tǒng)的網絡服務。這種攻擊由于源頭都是偽造的����,所以追蹤起來比較困難。但是��,該攻擊實施起來有一定難度��,需要大量高帶寬的僵尸主機�����。
TCP 全連接攻擊:這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的�。一般情況下,常規(guī)防火墻大多對于正常的 TCP 連接是放過的���,但是很多網絡服務程序能接受的 TCP 連接數(shù)是有限的���。TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的 TCP 連接,直到服務器的內存等資源被耗盡而被拖跨��, 從而造成拒絕服務。種攻擊的特點是可繞過一般防火墻的防護而達到攻擊;缺點是需要找很多僵尸主機��,且僵尸主機的IP 是暴露�,易被追蹤����。
刷 t 腳本攻擊:這種攻擊是跟服務器建立正常的TCP連接�, 并不斷的向腳本程序提交查詢、 列表等大量耗費數(shù)據庫資源的調用��。一般來說, 提交一個指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的�,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄��,這種處理過程對資源的耗費是非常大�����。攻擊者只需通過代理向目標服務器大量遞交查詢指令����,只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務�����。這種攻擊的特點是可以完全繞過普通的防火墻防護, 輕松找一些代理就可實施攻擊;缺點是對付只有靜態(tài)頁面的網站效果會大打折扣�����,并且會暴露攻擊者的IP地址�。
DDOS防御措施:
1���、及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞,及時安裝系統(tǒng)補丁程序����。對一些重要的信息(例如系統(tǒng)配置信息)建立和完善備份機制����。對一些特權帳號(例如管理員帳號)的密碼設置要謹慎��。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小��。
2、在網絡管理方面��,要經常檢查系統(tǒng)的物理環(huán)境�,禁止那些不必要的網絡服務�����。建立邊界安全界限���,確保輸出的包受到正確限制���。經常檢測系統(tǒng)配置信息,并注意查看每天的安全日志���。
3���、利用網絡安全設備(例如:防火墻)來加固網絡的安全性,配置好它們的安全規(guī)則�����,過濾掉所有的可能的偽造數(shù)據包���。
4、比較好的防御措施就是和你的網絡服務提供商協(xié)調工作�����,讓他們幫助你實現(xiàn)路由的訪問控制和對帶寬總量的限制����。
5��、當你發(fā)現(xiàn)自己正在遭受DDoS攻擊時�����,你應當啟動您的應付策略�����,盡可能快的追蹤攻擊包�,并且要及時聯(lián)系ISP和有關應急組織���,分析受影響的系統(tǒng)�,確定涉及的其他節(jié)點���,從而阻擋從已知攻擊節(jié)點的流量�����。
6�����、當你是潛在的DDoS攻擊受害者��,你發(fā)現(xiàn)你的計算機被攻擊者用做主控端和代理端時��,你不能因為你的系統(tǒng)暫時沒有受到損害而掉以輕心�����,攻擊者已發(fā)現(xiàn)你系統(tǒng)的漏洞�����,這對你的系統(tǒng)是一個很大的威脅��。所以一旦發(fā)現(xiàn)系統(tǒng)中存在DDoS攻擊的工具軟件要及時把它清除�,以免留下后患��。
