DDOS是目前企奇迹单位遭遇较多的一种网络攻击,DDOS目的很大略,便是使打算机或网络无法供应正常的做事。DDOS攻击最早可追溯到1996年最初,在中国2002年开始频繁涌现,2003年已经初具规模。目前的DDOS攻击紧张有7种办法。
DDOS攻击的七种武器
永生剑——SYN Flood攻击 SYN Flood攻击是当前网络上最为常见的DDos攻击,也是最为经典的谢绝做事攻击,它利用了TCP协议实现上的一个毛病,通过向网络做事所在端口发送大量的假造源地址的半连接要求,造成目标做事器中的半连接行列步队被占满,耗费CPU和内存资源,使做事器超负荷,从而阻挡其他合法用户进行访问。
这种攻击早在1996年就被创造,但至今仍旧显示出强大的生命力,可谓“永生不老”。很多操作系统,乃至防火墙、路由器都无法有效地防御这种攻击,而且由于它可以方便地假造源地址,追查起来非常困难。
多情环—— TCP全连接攻击 这种攻击是为了绕过常规防火墙的检讨而设计的,一样平常情形下,常规防火墙大多具备syn cookies或者syn proxy能力,能够有效应对假造的IP攻击,但对付正常的TCP连接是放过的。但殊不知很多网络做事程序能接管的TCP连接数是有限的,一旦有大量的 TCP连接,即便是正常的,也会导致网站访问非常缓慢乃至无法访问,正所谓“多情总被无情伤”。TCP全连接攻击便是通过许多僵尸主机不断地与受害做事器建立大量的TCP连接,直到做事器的内存等资源被耗尽而被拖跨,从而造成谢绝做事,这种攻击的特点是可绕过一样平常防火墙的防护而达到攻击目的。
孔雀翎——TCP混乱数据包攻击 TCP混乱数据包攻击与Syn Flood攻击类似,发送假造源IP的TCP数据包,只不过TCP头的TCP Flags 部分是混乱的,可能是syn,ack,syn+ack,syn+rst等等,会造成一些防护设备处理缺点锁去世,花费做事器CPU内存的同时还会堵塞带宽。就彷佛七种武器中的孔雀翎,总是在迷惑对手的时候施展末了的致命一击。
碧玉刀—— UDP Flood攻击 UDP Flood这天渐专横獗的流量型DOS攻击,事理也很大略。常见的情形是利用大量UDP小包冲击DNS做事器或Radius认证做事器、流媒体视频做事器。 100k PPS的UDP Flood常常将线路上的骨干设备例如防火墙打瘫,造玉成部网段的瘫痪。就彷佛看似轻盈小巧的碧玉刀,实则威力不容小觑。由于UDP协议是一种无连接的做事,在UDP FLOOD攻击中,攻击者可发送大量假造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,以是只要开了一个UDP的端供词给干系做事的话,那么就可针对干系的做事进行攻击。
拳头—— DNS Flood攻击 UDP DNS Query Flood攻击本色上是UDP Flood的一种,但是由于DNS做事器的不可替代的关键浸染,一旦做事器瘫痪,影响一样平常都很大。UDP DNS Query Flood攻击采取的方法是向被攻击的做事器发送大量的域名解析要求,常日要求解析的域名是随机天生或者是网络天下上根本不存在的域名,被攻击的DNS 做事器在吸收到域名解析要求的时候首先会在做事器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由做事器解析的时候,DNS 做事器会向其上层DNS做事器递归查询域名信息。根据微软的统计数据,一台DNS做事器所能承受的动态域名查询的上限是每秒钟9000个要求。而我们知道,在一台PC机上可以轻易地布局出每秒钟几万个域名解析要求,足以使一台硬件配置极高的DNS做事器瘫痪,由此可见DNS 做事器的薄弱性。DNS解析作为DDOS攻击之根本,就彷佛拳头一样,随时随地可以脱手。
离去钩—— CC攻击 CC攻击(Challenge Collapsar)是DDOS攻击的一种,是利用不断对网站发送连接要求致使形成谢绝做事的攻击。比较其它的DDOS攻击,CC攻击是运用层的,紧张针对网站。CC紧张是用来攻击页面的,CC便是仿照多个用户(少线程便是多少用户)一直地进行访问那些须要大量数据操作(便是须要大量CPU韶光)的页面,造成做事器资源的摧残浪费蹂躏,CPU永劫光处于100%,永久都有处理不完的连接直至就网络拥塞,正常的访问被中止。
这种攻击紧张是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQL Server、MySQLServer、Oracle等数据库的网站系统而设计的,特色是和做事器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,范例的以小博大的攻击方法。这种攻击的特点是可以完备绕过普通的防火墙防护,轻松找一些Proxy代理就可履行攻击,缺陷是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。就彷佛离去钩名为离去,实为相聚一样,CC攻击的真实意图又有谁能理解呢。
霸王枪——针对游戏做事器的攻击 由于游戏做事器非常多,这里先容最早也是影响最大的传奇游戏,传奇游戏分为上岸注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,由于游戏自己的协议设计的非常繁芜,以是攻击的种类也花样百出,大概有几十种之多,而且还在不断的创造新的攻击种类,最普遍是假人攻击,假人攻击是通过肉鸡仿照游戏客户端进行自动注册、上岸、建立人物、进入游戏活动从数据协议层面仿照正常的游戏玩家,很难从游戏数据包来剖析出哪些是攻击?哪些是正常玩家。针对游戏做事器的攻击十分霸气,就像霸王枪蛟龙出水,难以抵挡。
抵御DDOS攻击之六脉神剑
以上DDOS攻击的七种武器都有各自的特点和杀伤力,但也并非无法戒备。提及抵御DDOS攻击的招数,就不得不提起六脉神剑绝技,以无形化有形,瓦解着DDOS的一次次攻击。
少商剑—— Syn Flood防御技能 syn cookie/syn proxy类防护技能:这种技能对所有的syn包均主动回应,探测发起syn包的源IP地址是否真实存在,如果该IP地址真实存在,则该IP会回应防护设备的探测包,从而建立TCP连接。大多数的国内外抗DDOS产品均采取此类技能。
Safereset技能:此技能对所有的syn包均主动回应,探测包特意布局缺点的字段,真实存在的IP地址会发送rst包给防护设备,然后发起第2次连接,从而建立TCP连接。部分国外产品采取了这样的防护算法。
syn重传技能:该技能利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态,在该源IP的第2个syn包到达时进行验证,然后放行。
Syn Flood防御技能就彷佛少商剑一样,非常刚猛,颇有石破天惊,风雨大至之势,是御敌最常用到的招式。
商阳剑—— UDP Flood防御技能 UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP运用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。一样平常最大略的方法便是不对外开放UDP做事。
如果必须开放UDP做事,则可以根据该做事业务UDP最大包长设置UDP最大包大小以过滤非常流量。还有一种办法便是建立UDP连接规则,哀求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接,然后才能利用UDP通讯。
难以驾驭是UDP Flood防御技能的特点,同样也是商阳剑的特点,虽难以捉摸,不过一旦纯熟,效果极佳。
少泽剑—— DNS Flood防御技能 在UDP Flood的根本上对 UDP DNS Query Flood 攻击进行防护,根据域名 IP 自学习结果主动回应,减轻做事器负载(利用 DNS Cache)。
对溘然发起大量频度较低的域名解析要求的源 IP 地址进行带脱期制,在攻击发生时降落很少发起域名解析要求的源IP地址的优先级,限定每个源 IP 地址每秒的域名解析要求次数。好似少泽剑忽来忽去,变革精微一样平常,DNS Flood防御技能也在变革中不断调度,以求防御的最佳效果。
少冲剑—— CC防御技能 对是否HTTP Get的判断,要统计到达每个做事器的每秒钟的GET要求数,如果远远超过正常值,就要对HTTP协议解码,找出HTTP Get及其参数(例如URL等)。然后判断某个GET 要求是来自代理做事器还是恶意要求,并回应一个带Key的相应哀求,要求发起端作出相应的回馈。如果发起端不相应则解释是利用工具发起的要求,这样HTTP Get要求就无法到达做事器,达到防护的效果。颇有少冲剑轻敏锐捷,以巧取胜之意。
关冲剑——限定连接数 目前市场上的安全产品,包括防火墙、入侵防御、DDOS防御等产品紧张采取限制服务器主机连接数手段防御DDOS攻击,如关冲剑一样平常,看似拙滞古朴,实则为招数之基本。利用安全产品限定受保护主机的连接数,即每秒访问数量,可以确保受保护主机在网络层处理上不超过负荷(不含CC攻击),虽然用户访问时断时续,但可以担保受保护主机始终有能力处理数据报文。而利用安全产品限定客户端发起的连接数,可以有效降落傀儡机的攻击效果,即发起同样规模的攻击则须要更多的傀儡机。
中冲剑——攻击防御溯本追源技能 针对CC攻击防御的溯本追源技能是通过对做事器访问流量的实时监测,可以创造其在一定范围内颠簸,此时设置做事器低压阀值,当做事器访问流量高于低压阀值时开始记录并跟踪访问源。此外还要设置一个做事器高压阀值,此高压阀值代表做事器能够承受的最大负荷,当监测到做事器访问流量达到或超过高压阀值时,解释有DOS或者DDOS攻击事宜发生,须要实时阻断攻击流量,此时系统将逐一查找受攻击做事器的攻击源列表,检讨每个攻击源的访问流量,将突发大流量的源IP地址判断为正在进行DOS攻击的攻击源,将这些攻击源流量及其连接进行实时阻断。中冲剑大开大阖,气势雄迈, 溯本追源技能也是在承受攻击之中,探求着马脚,一招御敌,气势十足。
七种武器各自为战,六脉神剑集于一身,当七种武器碰着六脉神剑,孰胜孰败已见分晓。
