拒绝服务攻击DDoS介绍与防范
DDoS介绍
DDoS攻击即分布式拒绝服务攻击,又叫洪水攻击,在进行攻击的时候,这种方式可以对不同地点的大量计算机进行攻击,进行攻击的时候主要是对攻击的目标发送超过其处理能力的数据包,使攻击目标出现瘫痪的情况,不能提供正常的服务。。
随着计算机与网络技术的发展,DoS攻击的困难程度加大了,于是就产生了DDoS攻击。其原理就很简单:计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用,那么DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。另外,DDoS攻击不仅能攻击计算机,还能攻击路由器,因为路由器是一台特殊类型的计算机。
常见的DDoS攻击
一般有三种方式,攻击网络带宽资源、攻击系统资源和攻击应用资源。
ICMP Flood:通过对目标系统发送海量数据包,,就可以令目标主机瘫痪,如果大量发送
就成了洪水攻击。
UDP Flood:攻击者通常发送大量伪造源IP地址的小UDP包,100k bps的就能 将线路上的骨
干设备例如防火墙打瘫,造成整个网段的瘫痪。
ACK Flood: 通常是与其他攻击方式组合在一起使用。
NTP Flood:攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址
被伪造成攻击目标的IP,这样一来可能只需要1Mbps的上传带宽欺骗NTP服务
器,就可给目标服务器带来几百上千Mbps的攻击流量。
SYN Flood:一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资
源耗尽的攻击方式。
CC 攻击:由于CC攻击成本低、威力大,据调查目前80%的DDoS攻击都是CC攻击。CC攻
击是借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。这种攻
击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无
法进行正常连接。
DNS Query Flood:DNS Query Flood采用的方法是操纵大量傀儡机器,向目标服务器发送
大量的域名解析请求。解析过程给服务器带来很大的负载,每秒钟域名解析请求
超过一定的数量就会造成DNS服务器解析域名超时。
IP Spoofing攻击:是指创建的IP 数据包中具有伪造的源 IP 地址,目的是在发动攻击时隐藏
攻击者的身份或冒充成另一个计算系统。当攻击者冒充网络上的另一个设备或用
户以对网络主机发起攻击、窃取数据、传播恶意软件或绕过访问控制时,就会发
生欺骗攻击。
LAND Attack:指的是攻击者向目标系统发送一个SYN的TCP包,包中的源地址被伪造为目
标系统的地址。当目标系统收到包后,会向自己发送一个SYN+ACK的TCP包。
然后,目标系统向自己发送一个ACK包,这样就自己和自己建立一个空连接。这
个空连接会一直持续,直到超时。当目标系统被这样大量欺骗,建立大量空连
接,消耗大量的系统资源,导致目标系统底层操作系统运行缓慢,甚至崩溃。
SYN_ACK Flood:攻击者发送大量的SYN+ACK数据包到目标系统,目标系统将会为处理
这些报文而消耗大量的资源,导致目标系统运行缓慢,严重者会引起网络堵塞甚
至目标系统底层操作系统瘫痪。
DDoS防范
一、把网站做成静态页面
把网站尽可能做成HTML静态页面,不仅能大大提高网站的抗攻击能力,提高网站安全性,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现。目前我国的几家门户网站如新浪、搜狐、网易等主要都是静态页面。使用HTML页面能有效的减少服务器CPU资源。
二、增加服务器数量并采用
DNS轮巡或负载均衡技术需购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入,便可高效防御DDOS攻击。
三、在攻击源头采取安全策略。
DDOS防御必须通过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。 每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全。
四、采取加密技术
对于游戏服务商而言,在游戏通讯协议上,应采用高强度的加密算法,提高认证机制,加大攻击者的模拟难度。
五、优化路由和网络结构。
如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。另外禁止 网络不需要使用的 UDP 和 ICMP 包通过,尤其是不应该允许出站 ICMP“不可到达”消息。
六、用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。
7、购买高防服务器 秒解DDoS攻击
DDoS攻击,可以直接导致网站宕机、服务器瘫痪,数据流失等巨大损失,影响非常大。近年来大型DDoS攻击增长非常迅速,攻击流量最高一起甚至高达T级,引起多人恐慌,而如何有效地防御DDOS攻击成为了企业站长们最为苦恼的事。面对网络攻击,唯一且最有效的办法就是选择专业、高防御的高防云服务器。
8、使用CDN加速 隐藏源站IP地址
1、CDN加速可以让用户就近取得所需的内容,很好地解决了因分布、带宽、服务器性能带来的访问延迟问题,极大地提高用户访问网站的响应速度和成功率。控制时延问题可以说是现代信息科技一项非常重要的指标。
2、CDN加速就像是护航者和加速者。初衷就是为了顺利保障信息的连贯性,尽可能减少资源在转发、传输、链路抖动等情况下受到影响,更加快准狠的触发用户需求,给用户更好的使用体验。
3、使用CDN加速可以让你更专注业务本身。通常来说,CDN加速厂商都会提供一站式服务,这种业务不仅限于CDN,还有配套的云存储、大数据服务等。
9、使用CDN加速的好处
1. CDN加速可以做到跨运营商、跨地域的全网覆盖。无论网站访客在何时何地,任何网络运营商,都能快速访问网站。
2. 在访问不受限的情况下,用户享受极致的用户体验,也可直接大幅度地为网站带来流量、咨询量、客户量、成交额等。
如果正在遭受DDOS攻击:
1.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
2.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。
3.如果用户是潜在的DDoS攻击受害者,并且用户发现自己的计算机被攻击者用作主控端和代理端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞,这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
拒绝服务攻击DDoS介绍与防范相关推荐
- 分布式拒绝服务攻击(DDoS)原理及防范
转自:http://www.cnblogs.com/rootq/archive/2009/11/06/1597215.html http://www.ibm.com/developerworks/cn ...
- 【网络安全】——服务端安全(注入攻击、认证与会话管理和访问控制、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击DDOS)
这一篇博客记录的是服务端安全应用安全的知识,学习内容来自<白帽子讲Web安全>. 承接自上一篇客户端安全之后,包括注入攻击.认证与会话管理和访问控制.访问控制.加密算法与随机数.Web ...
- 【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
文章目录 一.网络安全内容 二.四种网络攻击 三.被动攻击 与 主动攻击 四.分布式拒绝服务 DDos 五.恶意程序 六.计算机网络安全目标 一.网络安全内容 网络安全内容 : 网络安全概述 对称加密 ...
- 计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
一.网络安全内容 网络安全内容 : 网络安全概述 对称加密 和 非对称加密 体质 数字签名 因特网安全协议 链路加密 与 端到端加密 防火墙 二.四种网络攻击 四种网络攻击 : ① 截获 : 窃听 其 ...
- DDoS分布式拒绝服务攻击简介
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同 ...
- Kali渗透-DDOS拒绝服务攻击
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 本文目的 演示如何借助 Kali Linux 系统内置的一个 TCP/IP 数据包组装/分析工具 hping 和在 Github 上开源的 ...
- 拒绝服务(DOS)与分布式拒绝服务(DDOS)
简介: DOS(Denial of Service,拒绝服务攻击),它的原理很简单,就是用我们手里的机器去给服务器发请求,如果我们手头的服务器各方面性能都比服务器的主机的性能好,那么当我们发送大量请求 ...
- 【网络与系统安全实验】拒绝服务攻击及防御
[网络与系统安全实验]拒绝服务攻击及防御 拒绝服务攻击概述 拒绝服务攻击的概念 "拒绝服务"这个词来源于英文Denial of Service(简称DoS),它是一种简单的破坏性攻 ...
- 浅谈几种区块链网络攻击以及防御方案之拒绝服务攻击
旧博文,搬到 csdn 原文:http://rebootcat.com/2020/04/14/network_attack_of_blockchain_ddos_attack/ 写在前面的话 自比特币 ...
最新文章
- Linux 什么时候才能足够完美?
- 懒人 IDEA 插件推荐: EasyCode 一键帮你生成所需代码~
- IOS UIAlertController 使用方法
- mysql select查询2个表_mysql – 为SELECT查询合并2个表?
- 【MySQL】MySQL负载均衡常见方法
- Android 监听开机完成广播,完成监听SIM卡功能
- POJ 1703 Find them, Catch them 并查集
- utilities——比较与排序规则(C++)
- 山寨笔记本电脑风暴要来了
- NYOJ12 喷水装置(二)
- 无论如何,你该在大城市再坚持下
- flashback database操作步骤
- CSRF跨站请求伪造漏洞修复
- 天涯社区离线阅读器(实现只看楼主功能)
- 杜立特尔分解法 MATLAB,杜立特分解法.doc
- sql日期中文大写显示
- 代码覆盖率和功能覆盖率
- 设置水平线高度html代码是size,html水平线样式 Width:设置水平线的宽度
- 如何用易语言做锁机软件
- Python基础知识之7