2021年如何防御DDOS遭遇攻擊

1、資料來源：來自本人網(wǎng)絡(luò)整理！祝您工作順利！2021年如何防御ddos遭遇攻擊 近年來出現(xiàn)的分布式回絕效勞攻擊(ddos)對網(wǎng)絡(luò)平安和信息的可用性造成了宏大的威逼。下面我為大家講解如何防備ddos攻擊? 什么是ddos? ddos是英文distributed denial of service的縮寫，意即分布式回絕效勞，那么什么又是回絕效勞(denial of service)呢?可以這么理解，但凡能導(dǎo)致合法用戶不可以訪問正常網(wǎng)絡(luò)效勞的行為都算是回絕效勞攻擊。也就是說回絕效勞攻擊的目的特別明確，就是要阻擋合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不行告人的目的。雖然同樣是回絕效勞攻擊，但是dd

2、os和dos還是有所不同，ddos的攻擊策略側(cè)重于通過許多僵尸主機(被攻擊者入侵過或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)堵塞或效勞器資源耗盡而導(dǎo)致回絕效勞，分布式回絕效勞攻擊一旦被施行，攻擊網(wǎng)絡(luò)包就會如同洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包吞沒，導(dǎo)致合法用戶無法正常訪問效勞器的網(wǎng)絡(luò)資源，因此，回絕效勞攻擊又被稱之為洪水式攻擊，常見的ddos攻擊手段有syn flood、ack flood、udp flood、icmp flood、tcp flood、connections flood、script flood、proxy flood等;而dos那么側(cè)重于通過

3、對主機特定破綻的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機死機而無法供應(yīng)正常的網(wǎng)絡(luò)效勞功能，從而造成回絕效勞，常見的dos攻擊手段有teardrop、land、jolt、igmp nuker、boink、smurf、bonk、oob等。就這兩種回絕效勞攻擊而言，危害較大的主要是ddos攻擊，緣由是很難防范，至于dos攻擊，通過給主機效勞器打補丁或安裝防火墻軟件就可以很好地防范，后文會具體介紹怎么應(yīng)付ddos攻擊。 為什么要ddos? 隨著internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種ddos黑客工具的不斷發(fā)布，ddos回絕效勞攻擊的施行越來越簡單，ddos攻擊大事正在成上升趨勢。出于商業(yè)競爭、打擊報復(fù)和

4、網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致許多idc托管機房、商業(yè)站點、嬉戲效勞器、談天網(wǎng)絡(luò)等網(wǎng)絡(luò)效勞商長期以來始終被ddos攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決ddos攻擊問題成為網(wǎng)絡(luò)效勞商必需考慮的頭等大事。 被ddos的特征是什么? ddos的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被堵塞，合法網(wǎng)絡(luò)包被虛假的攻擊包吞沒而無法到達主機;另一種為資源耗盡攻擊，主要是針對效勞器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或cpu被內(nèi)核及應(yīng)用程序占完而造成無法供應(yīng)網(wǎng)絡(luò)效勞。 如何推斷網(wǎng)站是否患病了流量攻

5、擊呢?可通過ping指令來測試，假設(shè)發(fā)覺ping超時或丟包嚴峻(假定平常是正常的)，那么可能患病了流量攻擊，此時假設(shè)發(fā)覺和你的主機接在同一交換機上的效勞器也訪問不了了，根本可以確定是患病了流量攻擊。當然，這樣測試的前提是你到效勞器主機之間的icmp協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否那么可實行telnet主機效勞器的網(wǎng)絡(luò)效勞端口來測試，效果是一樣的。不過有一點可以確定，假設(shè)平常ping你的主機效勞器和接在同一交換機上的主機效勞器都是正常的，突然都ping不通了或者是嚴峻丟包，那么假設(shè)可以排除網(wǎng)絡(luò)故障因素的話那么確定是患病了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦患病流量攻擊，會發(fā)覺用遠程終

6、端連接網(wǎng)站效勞器會失敗。 相對于流量攻擊而言，資源耗盡攻擊要簡單推斷一些，假設(shè)平常ping網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)覺突然網(wǎng)站訪問特別緩慢或無法訪問了，而ping還可以ping通，那么很可能患病了資源耗盡攻擊，此時假設(shè)在效勞器上用netstat -na指令觀看到有大量的syn_received、time_wait、fin_wait_1等狀態(tài)存在，而established很少，那么可斷定確定是患病了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，ping自己的網(wǎng)站主機ping不通或者是丟包嚴峻，而ping與自己的主機在同一交換機上的效勞器那么正常，造成這種緣由是網(wǎng)站主機患病攻擊后導(dǎo)致系統(tǒng)內(nèi)

7、核或某些應(yīng)用程序cpu利用率到達100%無法回應(yīng)ping指令，其實帶寬還是有的，否那么就ping不通接在同一交換機上的主機了。 當前主要有三種流行的ddos攻擊： 1、syn/ack flood攻擊：這種攻擊方法是經(jīng)典最有效的ddos方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)效勞，主要是通過向受害主機發(fā)送大量偽造源ip和源端口的syn或ack包，導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成回絕效勞，由于源都是偽造的故追蹤起來比擬困難，缺點是施行起來有肯定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導(dǎo)致主機效勞器無法訪問，但卻可以ping的通，在效勞器上用netstat -na指令會觀看到存在大量的syn

8、_received狀態(tài)，大量的這種攻擊會導(dǎo)致ping失敗、tcp/ip棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標。一般防火墻大多無法抵擋此種攻擊。 2、tcp全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計的，一般狀況下，常規(guī)防火墻大多具備過濾teardrop、land等dos攻擊的力量，但對于正常的tcp連接是放過的，殊不知許多網(wǎng)絡(luò)效勞程序(如：iis、apache等web效勞器)能承受的tcp連接數(shù)是有限的，一旦有大量的tcp連接，即便是正常的，也會導(dǎo)致網(wǎng)站訪問特別緩慢甚至無法訪問，tcp全連接攻擊就是通過很多僵尸主機不斷地與受害效勞器建立大量的tcp連接，直到效勞器的內(nèi)存等資源

9、被耗盡而被拖跨，從而造成回絕效勞，這種攻擊的特點是可繞過一般防火墻的防護而到達攻擊目的，缺點是需要找許多僵尸主機，并且由于僵尸主機的ip是暴露的，因此簡單被追蹤。 3、刷script腳本攻擊：這種攻擊主要是針對存在asp、jsp、php、cgi等腳本程序，并調(diào)用mssqlserver、mysqlserver、oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的，特征是和效勞器建立正常的tcp連接，并不斷的向腳本程序提交查詢、列表等大量消耗數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個get或post指令對客戶端的消耗和帶寬的占用是幾乎可以忽視的，而效勞器為處理此懇求卻可能要從上萬條記錄中去查

10、出某個記錄，這種處理過程對資源的消耗是很大的，常見的數(shù)據(jù)庫效勞器很少能支持數(shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過proxy代理向主機效勞器大量遞交查詢指令，只需數(shù)分鐘就會把效勞器資源消耗掉而導(dǎo)致回絕效勞，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、asp程序失效、php連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用cpu偏高。這種攻擊的特點是可以完全繞過一般的防火墻防護，輕松找一些proxy代理就可施行攻擊，缺點是應(yīng)付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些proxy會暴露攻擊者的ip地址。 四、怎么抵擋ddos? 應(yīng)付ddos是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住ddos是不

11、現(xiàn)實的，可以確定的是，完全杜絕ddos目前是不行能的，但通過適當?shù)拇胧┑謸?0%的ddos攻擊是可以做到的，基于攻擊和防備都有本錢開銷的原因，假設(shè)通過適當?shù)姆椒ㄔ黾恿说謸鮠dos的力量，也就意味著加大了攻擊者的攻擊本錢，那么絕大多數(shù)攻擊者將無法連續(xù)下去而放棄，也就相當于勝利的抵擋了ddos攻擊。以下為筆者多年以來抵擋ddos的閱歷和建議，和大家共享! 1、采納高性能的網(wǎng)絡(luò)設(shè)備 首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假設(shè)和網(wǎng)絡(luò)供應(yīng)商有特別關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對

12、抗某些種類的ddos攻擊是特別有效的。 2、盡量避開nat的用法 無論是路由器還是硬件防護墻設(shè)備要盡量避開采納網(wǎng)絡(luò)地址轉(zhuǎn)換nat的用法，因為采納此技術(shù)會較大降低網(wǎng)絡(luò)通信力量，其實緣由很簡潔，因為nat需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進展計算，因此鋪張了許多cpu的時間，但有些時候必需用法nat，那就沒有好方法了。 3、充分的網(wǎng)絡(luò)帶寬保證 網(wǎng)絡(luò)帶寬挺直打算了能抗受攻擊的力量，假如僅僅有10m帶寬的話，無論實行什么措施都很難對抗如今的synflood攻擊，當前至少要選擇100m的共享帶寬，最好的當然是掛在1000m的主干上了。但需要留意的是，主機上的網(wǎng)卡是1000m的并不意味著它

13、的網(wǎng)絡(luò)帶寬就是千兆的，假設(shè)把它接在100m的交換機上，它的實際帶寬不會超過100m，再就是接在100m的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡(luò)效勞商很可能會在交換機上限制實際帶寬為10m，這點肯定要搞清晰。 4、晉級主機效勞器硬件 在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個syn攻擊包，效勞器的配置至少應(yīng)當為：p4 2.4g/ddr512m/scsi-hd，起關(guān)鍵作用的主要是cpu和內(nèi)存，假設(shè)有志強雙cpu的話就用它吧，內(nèi)存肯定要選擇ddr的高速內(nèi)存，硬盤要盡量選擇scsi的，別只貪ide價格不貴量還足的廉價，否那么會付出昂揚的性能代價，再就是網(wǎng)卡肯定要選用3com

14、或intel等名牌的，假設(shè)是realtek的還是用在自己的pc上吧。 5、把網(wǎng)站做成靜態(tài)頁面 大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大進步抗攻擊力量，而且還給黑客入侵帶來不少費事，至少到如今為止關(guān)于html的溢出還沒出現(xiàn)，看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，假設(shè)你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的患病攻擊時連累主效勞器，當然，適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中回絕用法代理的訪問，因為閱歷說明用法代理訪問你網(wǎng)站的80%屬于惡意行為。 6、增加操作系統(tǒng)的tcp/ip棧 win2000和win2021作為效勞器操作系統(tǒng)，本身就具備肯定的抵抗ddos攻擊的力量，只是默認狀態(tài)下沒有開啟而已，假設(shè)開啟的話可抵抗約1