分布式谢绝做事攻击一旦被履行,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如大水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问做事器的网络资源,因此,谢绝做事攻击又被称之为“大水式攻击”。
常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;目前而言,黑客乃至对攻击进行明码标价,打1G的流量到一个网站一小时,只需50块钱。DDoS的本钱如此之低,而且攻击了也没人管。
1. SYN Flood:
利用TCP协议的事理,这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络做事,紧张是通过向受害主机发送大量假造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成谢绝做事。TCP通道在建立以前,须要三次握手:
a. 客户端发送一个包含SYN标志的TCP报文, 同步报文指明客户端所须要的端口号和TCP连接的初始序列号
b. 做事器收到SYN报文之后,返回一个SYN+ ACK报文,表示客户端要求被接管,TCP初始序列号加1
c.客户端也返回一个确认报文ACK给做事器,同样TCP序列号加1
d. 如果做事器端没有收到客户端的确认报文ACK,则处于等待状态,将该客户IP加入等待行列步队,然后轮训发送SYN+ACK报文
以是攻击者可以通过假造大量的TCP握手要求,耗尽做事器真个资源。
2. HTTP Flood:
针对系统的每个Web页面,或者资源,或者Rest API,用大量肉鸡,发送大量http request。这种攻击紧张是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特色是和做事器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,范例的以小博大的攻击方法。缺陷是对付只有静态页面的网站效果会大打折扣。
3. 慢速攻击:
Http协议中规定,HttpRequest以\r\n\r\n结尾来表示客户端发送结束。攻击者打开一个Http 1.1的连接,将Connection设置为Keep-Alive, 保持和做事器的TCP长连接。然后始终不发送\r\n\r\n, 每隔几分钟写入一些无意义的数据流, 拖去世机器。
4. P2P攻击:
每当网络上涌现一个热门事宜,比如XX门, 精心制作一个种子, 里面包含精确的文件下载, 同时也包括攻击目标做事器的IP。这样,当很多人下载的时候, 会无意中发起对目标做事器的TCP连接。
DDOS攻击征象剖断方法
1.SYN类攻击判断:
A.CPU占用很高;B.网络连接状态:netstat –na,若不雅观察到大量的SYN_RECEIVED的连接状态;C.网线插上后,做事器立即凝固无法操作,拔出后有时可以规复,有时候须要重新启动机器才可规复。
2.CC类攻击判断:
A.网站涌现service unavailable提示;B.CPU占用率很高;C.网络连接状态:netstat –na,若不雅观察到大量的ESTABLISHED的连接状态 单个IP高达几十条乃至上百条;D.用户无法访问网站页面或打开过程非常缓慢,软重启后短期内规复正常,几分钟后又无法访问。
3.UDP类攻击判断:
A.不雅观察网卡状况 每秒接管大量的数据包;B.网络状态:netstat –na TCP信息正常。
4.TCP大水攻击判断:
A.CPU占用很高;B.netstat –na,若不雅观察到大量的ESTABLISHED的连接状态 单个IP高达几十条乃至上百条
DDoS攻击防御方法:
1. 过滤不必要的做事和端口:
可以利用Inexpress、Express、Forwarding等工具来过滤不必要的做事和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放做事端口成为目前很多做事器的盛行做法,例如WWW做事器那么只开放80而将其他所有端口关闭或在防火墙上做阻挡策略。
2. 非常流量的洗濯过滤:
通过DDOS硬件防火墙对非常流量的洗濯过滤,通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技能能准确判断外来访问流量是否正常,进一步将非常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
3. 分布式集群防御:
这是目前网络安全界防御大规模DDOS攻击的最有效办法。分布式集群防御的特点是在每个节点做事器配置多个IP地址(负载均衡),并且每个节点能承受不低于10G的DDOS攻击,如一个节点受攻击无法供应做事,系统将会根据优先级设置自动切换另一个节点,并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态,从更为深度的安全防护角度去影响企业的安全实行决策。
4. 高防智能DNS解析:
高智能DNS解析系统与DDOS防御系统的完美结合,为企业供应对抗新兴安全威胁的超级检测功能。它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析要求解析到用户所属网络的做事器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的做事器IP智能改换成正常做事器IP,为企业的网络保持一个永不宕机的做事状态。
DDoS攻击的网络流量洗濯当发生DDOS攻击时,网络监控系统会侦测到网络流量的非常变革并发出报警。在系统自动检测或人工判断之后,可以识别出被攻击的虚拟机公网IP地址。这时,可调用系统的防DDOS攻击功能接口,启动对干系被攻击IP的流量洗濯。流量洗濯设备会立即接管对该IP地址的所有数据包,并将攻击数据包洗濯掉,仅将正常的数据包转发给随后的网络设备。这样,就能担保全体网络正常的流量通畅,而将DDOS流量拒之门外。
采取云DDoS洗濯办法,可以为企业用户带来诸多好处。其表现在不仅可以提升综合防护能力,用户能够按需付费,可弹性扩展,而且还能够基于大数据来剖析预测攻击,同时能够免费升级。对付企业用户来说,则可实现零运维、零改造。
CC攻击先容
CC攻击(Challenge Collapsar)是DDOS(分布式谢绝做事)的一种,前身名为Fatboy攻击,也是一种常见的网站攻击方法。攻击者通过代理做事器或者肉鸡向向受害主机一直地发大量数据包,造成对方做事器资源耗尽,一贯到宕机崩溃。比较其它的DDOS攻击CC彷佛更有技能含量一些。这种攻击你见不到真实源IP,见不到特殊大的非常流量,但造成做事器无法进行正常连接。最让站长们忧虑的是这种攻击技能含量低,利用改换IP代理工具和一些IP代理一个初、中级的电脑水平的用户就能够履行攻击。
CC攻击防御方法
1. 利用Session做访问计数器:
利用Session针对每个IP做页面访问计数器或文件下载计数器,防止用户对某个页面频繁刷新导致数据库频繁读取或频繁下载某个文件而产生大额流量。(文件下载不要直策应用下载地址,才能在做事端代码中做CC攻击的过滤处理)
2. 把网站做成静态页面:
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给骇客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没涌现,看看吧!
新浪、搜狐、网易等门户网站紧张都是静态页面,若你非须要动态脚本调用,那就把它弄到其余一台单独主机去,免的遭受攻击时连累主理事器。
3. 增强操作系统的TCP/IP栈
Win2000和Win2003作为做事器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,详细怎么开启,自己去看微软的文章吧!
《强化 TCP/IP 堆栈安全》。大概有的人会问,那我用的是Linux和FreeBSD怎么办?很大略,按照这篇文章去做吧!
《SYN Cookies》。
4. 在存在多站的做事器上,严格限定每一个站许可的IP连接数和CPU利用韶光
这是一个很有效的方法。CC的防御要从代码做起,实在一个好的页面代码都该当把稳这些东西,还有SQL注入,不只是一个入侵工具,更是一个DDOS缺口,大家都该当在代码中把稳。举个例子吧,某做事器,开动了5000线的CC攻击,没有一点反应,由于它所有的访问数据库要求都必须一个随机参数在Session里面,全是静态页面,没有效果。溘然创造它有一个要求会和表面的做事器联系得到,须要较长的韶光,而且没有什么认证,开800线攻击,做事器立时满负荷了。代码层的防御须要从点点滴滴做起,一个脚本代码的缺点,可能带来的是全体站的影响,乃至是全体做事器的影响!
5. 做事器前端加CDN中转
(免费的有百度云加速、360网站卫士、加速乐、安全宝等),如果资金充裕的话,可以购买高防的盾机,用于隐蔽做事器真实IP,域名解析利用CDN的IP,所有解析的子域名都利用CDN的IP地址。此外,做事器上支配的其他域名也不能利用真实IP解析,全部都利用CDN来解析。
其余,防止做事器对外传送信息泄露IP地址,最常见的情形是,做事器不要利用发送邮件功能,由于邮件头会泄露做事器的IP地址。如果非要发送邮件,可以通过第三方代理(例如sendcloud)发送,这样对外显示的IP是代理的IP地址。
总之,只要做事器的真实IP不透露,10G以下小流量DDOS的预防花不了多少钱,免费的CDN就可以搪塞得了。如果攻击流量超过20G,那么免费的CDN可能就顶不住了,须要购买一个高防的盾机来搪塞了,而做事器的真实IP同样须要隐蔽
DDoS攻击测试工具1. 卢瓦(LOIC) (Low Orbit Ion Canon):
LOTC是一个最受欢迎的DOS攻击工具。 这个工具被去年盛行的黑客集团匿名者用于对许多大公司的网络攻击。它可以通过利用单个用户实行DOS攻击小型做事器,工具非常易于利用,即便你是一个初学者。 这个工具实行DOS攻击通过发送UDP,TCP或HTTP要求到受害者做事器。 你只须要知道做事器的IP地址或URL,其他的就交给这个工具吧。
2. XOIC:
XOIC是另一个不错的DOS攻击工具。它根据用户选择的端口与协议实行DOS攻击任何做事器。XOIC开拓者还声称XOIC比上面的LOIC在很多方面更强大呢。
3. R-U-Dead-Yet:
R-U-Dead-Yet是一个HTTP post DOS攻击工具。它实行一个DOS攻击长表单字段,通过POST方法提交。这个工具供应了一个交互式掌握台菜单,检测给定的URL,并许可用户选择哪些表格和字段运用于POST-based DOS攻击。
4. OWASP DOS HTTP POST:
这是其余一个很好的工具。您可以利用这个工具来检讨您的web做事器能否够守卫得住别人的DOS攻击。当然,不仅对防御,它也可以用来实行DOS攻击哦。
5. DAVOSET:
DAVOSET是另一个很好的实行DDOS攻击工具。 最新版本的工具新增支持cookie以及许多其他功能。
