ddos( 英文全称: Distributed Denial of Service,缩写:DDoS ),翻译成中文,意思是“分布式拒绝服务”。ddos攻击,是一种耗尽攻击目标的系统资源或网络带宽,导致攻击目标无法响应正常服务请求的网络攻击方式。这种攻击手法通过借助于“客户/服务器”技术,将多个计算机联合起来作为攻击平台,对一个或者多个目标发动攻击。
DDoS攻击,是基于DoS的特殊形式的拒绝服务攻击,是一种分布式、协作的大规模攻击方式,主要瞄准一些企业或政府部门的网站发起攻击。
一、DDoS攻击的原理:
DDoS攻击分为3层:攻击者、主控端、代理端,这三者在攻击中扮演着不同的角色。
1、攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
2、主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制着大量的代理主机。主控端主机上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
3、代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和执行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。
攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序。攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,另一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。由于攻击者在幕后操纵,所以在攻击时不会受到监控系统的跟踪,隐蔽性较强,身份不容易被发现。
以上就是DDoS攻击的原理,它能在短时间内对攻击目标发起大量的访问请求,试图耗尽攻击目标的网络资源或服务器资源,让攻击目标的网络堵塞、陷入瘫痪或者服务器无法响应正常的访问请求,并最终造成攻击目标网站的实质性无法访问。
二、DDoS攻击具体有哪些类型?
从技术角度来讲,DDoS攻击不是一种单纯的网络流量攻击,而是一大类网络流量攻击的总称,它有多种类型,包括:TCP—SYN Flood流量攻击 、UDP Flood流量攻击、ICMP Flood流量攻击、ACK Flood流量攻击等,以及其他变种类型的攻击。
TCP—SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一。TCP—SYN Flood是一种针对TCP/IP协议的缺陷发起的攻击,其明显特征是被攻击者的主机上存在大量的TCP连接。TCP—SYN Flood属于DDoS的一种,其威力比其他DDoS种类要强很多,因为它是基于连接的攻击,而不是单纯的数据包攻击,所以被攻击者的主机很快瘫痪。如果黑客“肉鸡”(被操控的傀儡机)够多的话,可以攻下一个网站。
UDP Flood是属于UDP协议中的一种流量型DoS攻击,其攻击特征是,伪造大量的真实IP,并用大量的UDP小包冲击DNS服务器或流媒体视频服务器等。由于UDP协议是一种无连接的服务,在UDP Flood攻击中,攻击者可发送大量伪造源IP地址的小UDP包,只要服务器开启了UDP的端口,就会受到流量攻击。防御方法是,可对UDP包的数据大小进行设置,严格把控发送的数据包大小,超过一定值的数据包进行丢弃;另外,只有建立了TCP连接的IP,才能发送UDP包,否则直接屏蔽该IP。
ICMP Flood是利用ICMP协议对服务器进行Ping的攻击,当出现ICMP Flood攻击的时候,只要禁止ping就行了。ICMP Flood只对那些没有禁止ping的计算机有效,不管黑客有多少“肉鸡”(被操控的傀儡机),只要禁止ping,他都无可奈何。
ACK Flood攻击跟TCP—SYN Flood攻击的原理差不多,同样都是采用发送数据包到服务器端的方式。攻击者利用ACK数据包进行攻击,当每秒钟发送ACK数据包的速率达到一定的程度,就会造成ACK连接过多导致服务器的资源被耗尽,服务器无法再正常处理ACK数据包,出现网页反应很慢,丢包率很高的现象。
三、服务器应对DDoS攻击的方法和策略
在这里给大家分享一些服务器应对和缓解DDoS攻击的方法与策略,以供大家参考、借鉴。
1、确保服务器系统安全
①确保服务器的系统文件是最新的版本,并及时更新系统补丁。
②管理员需对所有主机进行检查,知道访问者的来源。
③关闭不必要的服务:在服务器上删除未使用的服务,关闭未使用的端口。
④限制同时打开的SYN半连接数目,缩短SYN半连接的等待时间,限制SYN/ICMP流量。
⑤正确设置防火墙,在防火墙上运行端口映射程序或端口扫描程序。
⑥认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那么这台机器就很有可能遭受到了攻击。
⑦限制在防火墙外与网络文件共享,这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。
2、其他的一些防御方法和措施
①隐藏服务器真实IP
服务器防御DDoS攻击,最根本的措施就是隐藏服务器的真实IP地址。当服务器对外传送信息时,就可能会泄露IP地址,例如,我们常见的使用服务器发送邮件功能,就会泄露服务器的IP地址。
因而,我们在发送邮件时,需要通过第三方代理进行发送,这样显示出来的IP是代理IP,因而不会泄露真实的IP地址。在资金充足的情况下,可以选择高防服务器,且在服务器前端加cdn(内容分发网络)中转,所有的域名和子域都使用CDN(内容分发网络)来解析。
②关掉服务器不必要的服务和端口
关掉服务器不必要的服务和端口,这也是服务器运维人员最常用的做法。在服务器防火墙中,只开启使用的端口,比如:网站web服务的80端口、数据库的3306端口、SSH服务的22端口等。关掉、屏蔽不必要的服务和端口,在路由器上过滤假的IP地址。
③限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量,来限制SYN/ICMP封包所能占有的最高频宽。通过这样的限制,当出现大量超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵和攻击。早期通过限制SYN/ICMP流量,是防御DoS攻击最好的方法,虽然目前该方法对于防御DDoS攻击的效果不太明显了,不过仍然还是能够起到一定的作用。
④提供余量带宽
通过服务器性能测试,评估正常业务环境下所能承受的带宽和请求数目。在购买带宽时,确保有一定的余量带宽,这样可以避免遭受攻击时,带宽大于正常使用量而影响正常用户的情况。
CDN(内容分发网络),通过部署在网络上不同地方的边缘节点服务器,能够让用户以最短的距离和时间获得所需要的内容,从而避免单节点带来的网络拥堵和信息延迟。正是因为CDN(内容分发网络)在全网都能部署中转节点,并且具有可以隐藏原服务器IP地址的功能,因此CDN(内容分发网络)除了可以用来加速网络服务之外,还能用来充当“高防服务器”使用。相比临时租用的高防带宽,高防CDN的价格相对比较便宜。
目前而言,DDoS攻击并没有一劳永逸的根治方法,做不到彻底杜绝和消灭,只能采取各种手段在一定程度上减缓攻击带来的伤害和损失。所以服务器的日常运维工作,还是要做好基本的保障。
亿速云,是一家拥有丰富行业积淀的专业云计算服务提供商、云安全服务提供商,致力于为广大用户提供的“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器”等云主机租用服务,具有安全稳定、简单易用、高可用性、高性价比的特点与优势,专为中小企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
亿速云为用户提供专业抗DDoS攻击、DoS攻击、cc攻击的高防云服务器、高防香港服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势,能够更加精准有效地防御DDoS攻击、DoS攻击和CC攻击,真正做到了降低用户的防御成本。
采用“智能硬件防火墙 + 流量牵引技术”,并为用户配置相对应的高防IP,在用户面临DDoS攻击、DoS攻击时,可精准识别出恶意流量,并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后,高防IP会将正常流量返回给源站IP,从而达到“防御DDoS攻击、DoS攻击,保证用户网站正常稳定运行”的目的。
新浪声明:新浪网登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。
原文链接:http://vr.sina.com.cn/news/hz/2019-10-30/doc-iicezuev5990543.shtml
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/6798