什么是DDOS攻击?怎么样防御
一、什么是DDOS攻击
DDOS(Distributed Denial of Service),即分布式拒绝服务攻击,这是当今流行的网络攻击方式之一。利用合法的服务请求来占用过多的资源或带宽,从而使服务器不能对正常、合法的用户提供服务。更通俗的说,只要导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。这也就说明拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达到其攻击目的。
DDOS的攻击通过众多的“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致不能提供正常的服务(拒绝服务)。在分布式拒绝服务攻击的实施中,大量攻击主机发送的网络数据包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script Flood、Proxy Flood等多种方式。下面我们将介绍如何通过网络分析技术手段来检测DDOS攻击。
二、遭遇攻击的症状DDOS的目的非常明确,表现形式主要有两种,一种主要是针对网络带宽的攻击,即大量攻击包占用网络带宽,导致网络被阻塞,从而无法完成正常、合法响应;另一种则为资源耗尽攻击,主要是针对服务器的攻击,即通过大量攻击包导致服务器的内存或CPU资源被耗尽,从而造成服务器当机或无法提供正常的网络服务。
三、如何检测DDOS攻击由于对DDOS攻击的防御较为困难,目前没有任何一种产品或方法能够防御DDOS攻击入侵,因此,对于如何检测DDOS攻击就显得至关重要。本文,我们将介绍通过网络分析的手段来检测DDOS攻击(此处用到的产品为科来网络分析系统技术交流版6.9)。
利用网络分析技术的检测手段通过对网络通讯数据包进行实时的捕获,能够快速的分析和检测到网络中是否发生了DDOS攻击。如果网络中已经发生了此类攻击,那么,我们借助网络分析技术就可以快速的查找和解决问题。下面我们通过一个实例来讲解用科来网络分析系统查找DDOS攻击的方法。
首先,打开概要统计视图,查看网络中的TCP的连接信息
网络中存在大量的TCP同步数据包(2,249,352个),而成功建立TCP连接数太少,根据TCP三次握手的原理我们知道,这是一种不正常的现象,网络肯定存在问题。我们再通过矩阵视图来查看具体的网络通信情况
在矩阵连接视图中,大量的主机同时与125.91.13.124连接通讯,并且向其发送大量的数据包,我们怎样来确定这些数据包的类型呢?为了进一步确定发送了怎样的数据包,我们再查看数据包解码就能够看到
当前的通讯全是使用了TCP进行通讯,查看TCP的标志,发送所有的数据包均为SYN置1,即TCP同步请求数据包,这些数据包全都向125.91.13.124请求同步,至此我们可以判断125.91.13.124这台主机进行遭受DDOS攻击,而攻击的方式为SYN Flood攻击。
SYN Flood攻击,这是一种经典和常用的DDOS方法,主要是通过向受害主机发送大量的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,对各种系统的网络服务、网络资源等都会造成巨大的影响。
四、小结
检测DDOS攻击还可以用到一些常规方法,如Ping命令、NETSTAT命令等,但是,这些方法相对简单并且较为繁琐,通过网络分析技术进行分析,能起到事半功倍的效果。
如何防御DDoS攻击?
我觉得你可以这样
及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。
3.利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。
4.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
5.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。
6.如果用户是潜在的DDoS攻击受害者,并且用户发现自己的计算机被攻击者用作主控端和代理端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞,这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
深圳市安之天
H3c ER8300日志显示Lan3口物理连接多次断开
怀疑有机器中毒对外或者对内发DDOS攻击,如果条件允许的话通过科来、sniffer或者wireshark抓包软件抓那个接口的数据包。抓包会吧,对该链路连接的交换机通过镜像把该链路数据镜像到监控口抓包,命令就不多说。通过分析数据包看一下结果便一目了然。然后根据异常流量的源ip或层层查找,找到异常机器做处理。你也可以抓包发给我分析,邮箱yekf1990@126。com。
0条大神的评论