什么是 DDoS 攻击?
攻DDOS攻击全程为:分布式拒绝服务攻击,是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。
DDOS攻击的本质
利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板。
2007年5月,爱沙尼亚三周内遭遇三轮DDOS攻击,总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪,为此北约顶级反网络恐怖主义专家前往该国救援。
著名事件
2009年519断网事件导致南方六省运营商服务器全部崩溃,电信在南方六省的网络基本瘫痪。
2009年7月,韩国主要网站三天内遭遇三轮猛烈的DDOS攻击,韩国宣布提前成立网络司令部。
最近比较著名的案例有:全球三大游戏平台——暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击,致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。
对于DDOS攻击的防护
关闭不必要的服务和端口;限制同一时间内的打开的syn半连接数目;缩短syn半连接的超时时间;及时安装系统补丁;禁止对主机非开放服务的访问;启用防火墙防DDOS属性。另外也可以安装相应的防护软件,这里个人建议安装安全狗软件。防护性能不错,并且免费。
VPS遇到DDOS攻击怎么办
DDoS的防范到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?虽然DDos难于防范,但防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不同的任务。我们以下面几种角色为例:企业网管理员ISP、ICP管理员骨干网络运营商(一)企业网管理员网管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何做呢?可以从主机与网络设备两个角度去考虑。1.主机上的设置 几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:关闭不必要的服务限制同时打开的Syn半连接数目缩短Syn半连接的time out 时间及时更新系统补丁2.网络设备上的设置企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对特定的对象来说是否值得。 (1)防火墙 禁止对主机的非开放服务的访问限制同时打开的SYN最大连接数限制特定IP地址的访问启用防火墙的防DDoS的属性严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。 (2).路由器以Cisco路由器为例Cisco Express Forwarding(CEF)使用 unicast reverse-path 访问控制列表(ACL)过滤设置SYN数据包流量速率升级版本过低的ISO 为路由器建立log server(二)ISP / ICP管理员ISP / ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最易控制的傀儡机,托管的主机大都是高性能、高带宽的,往往适合用做DDos攻击。 (三)骨干网络运营商他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。方法很简单,就是每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来还很困难。对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前至少可以做到把自己的网络与主机维护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次,在受到攻击的时候,要尽量地保存证据,以便事后追查,一个良好的网络和日志系统是必要的。
遇到DDOS攻击怎么处理
1、 使用专业的异常流量清洗设备进行DDoS攻击防护,当检测探针发现网络中的异常流量突升时,会产生相应的告警并请求清洗设备进行流量清洗动作,主要包括流量牵引、清洗以及回注三个步骤,根据不同的组网方式选择合适的回注方式,保障用户业务的稳定运行;作为国内专业的异常流量清洗设备厂家,迪普科技为客户提供专业的异常流量清洗设备;
2、 对于部分超出设备防护性能的DDoS攻击,还可以在设备通过配置黑洞路由的方式进行防护;黑洞路由可以类比洪水来临时,用户将洪水引入一个深不见底的洞穴,以此保护正常业务系统稳定运行;
3、 随着DDoS攻击呈现大流量的趋势,普通用户自建防护设备的投入成本过高,此时可以采用运营商等抗D服务供应商提供的云抗D服务,由运营商协助进行DDoS攻击防护,同时用户可通过服务商提供的可视化平台直观了解业务健康状况;
4、 需要明确,DDoS攻击只能防御,无法杜绝,因此在日常运维管理过程中,可以通过隐藏目的IP、关注业内DDoS攻击态势、及时加固防护措施等预先进行防护,做好事前防护。
0条大神的评论