& 浏览内容
防Ddos-DDoS攻击原理
相比常规的渗透测试攻击来说，DDoS攻击比前者更具危害性，为什么这么说呢？因为发动一次大规模的DDoS攻击只需要拥有一定数量的僵尸网络即可，而完成一个渗透测试是需要长期及一定的技术水平才可以。而实施后者（DDoS）的门槛相对前者来说低了许多，而造成的危害后果却不亚于前者，可以说DDoS攻击是目前最强大、最难防御的攻击之一。本文由阿里巴巴的高级专家编写，带领大家认识及了解这种攻击的防御办法。敌情篇 ——DDoS攻击原理1. DDoS攻击基础DDoS（Distributed Denial of service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。按照发起的方式，DDoS可以简单分为三类：第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程而无用武之地，这种类型的攻击典型代表是ICMP Flood和UDP Flood，现在已不常见；第二类以巧取胜，灵动难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的不再响应。这类攻击主要是利用协议或者软件的发起，如Slowloris攻击，Hash冲突攻击等，需要特定环境机缘巧合下才能出现；第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量，如SYN Flood攻击，DNS Query Flood攻击，是当前的主流攻击方式。下文将一一描述这些最常见、最具代表性攻击方式，并介绍他们的防御方案。1.1 SYN FloodSYN Flood是互联网上最经典的DDoS攻击方式之一，最早出现于1999年左右，雅虎是当时最著名的受害者。SYN Flood攻击利用了TCP三次握手的缺陷，能够以较小代价使目标无法响应，且难以追查。标准的TCP三次握手过程如下：客户端发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号;服务器在收到客户端的SYN报文后，将返回一个SYN ACK（即确认Acknowledgement）的报文，表示客户端的请求被接受，同时TCP初始序号自动加一。客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一。经过这三步，TCP连接就建立完成。TCP协议为了实现可靠传输，在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没收到客户端的最终ACK确认报文，会一直处于SYN_RECV状态，将客户端IP加入等待列表，并重发第二步的SYN ACK报文。重发一般进行3-5次，大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面，服务器在自己发出了SYN ACK报文后，会预分配资源为即将建立的TCP连接储存信息做准备，这个资源在等待重试期间一直保留。更为重要的是，服务器资源有限，可以维护的SYN_RECV状态超过极限后就不再接受新的SYN报文，也就是拒绝新的TCP连接建立。SYN Flood正是利用了上文中TCP协议的设定，达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文，由于伪造的IP地址几乎不可能存在，也就几乎没有设备会给服务器返回任何应答了。因此，服务器将会维持一个庞大的等待列表，不停的重试发送SYN ACK报文，同时占用着大量的资源无法释放。更关键的是，被攻击服务器的SYN_RECV队列被恶意的数据包占满，不再接受新的SYN请求，合法用户无法完成三次握手建立起TCP连接。也就是说，这个服务器被SYN Flood拒绝服务了。对SYN Flood有兴趣的可以看看这里，这是笔者2006年写的代码，后来做过几次修改，修改bug，并降低了攻击性，纯做测试使用。&1.2 DNS Query Flood&作为互联网最基础最核心的服务，DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接的打垮了一个公司的全部业务，或者打垮一个地区的网络服务。前些时候风头正盛的组织anonymous也曾经宣布要攻击全球互联网的13台根DNS服务器，不过最终没有得手。UDP攻击是最容易发起海量流量的攻击手段，而且源IP随机伪造难以追查。但是过滤比较容易，因为大多数IP并不提供UDP服务，直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了，取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说，越上层协议上发动的DDoS攻击越难以防御，因为协议越上层，与业务关联越大，防御系统面临的情况越复杂。DNS Query Flood就是攻击者操纵大量傀儡机器，对目标发起海量的域名查询请求。为了防止基于ACL的过滤，必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址，随机伪造源端口等参数。在DNS协议层，随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外，还可以降低命中DNS缓存的可能性，尽可能多的消耗DNS服务器的CPU资源。关于DNS QueryFlood的代码，笔者2011年7月份为了测试服务器性能曾经写过一份代码，见这里。同样的，这份代码人为降低了攻击性，只做测试用途。&1.3 HTTP Flood&上文描述的SYNFlood、DNS Query Flood在现阶段已经能做到有效防御了，真正另各大厂商以及互联网企业头疼的是HTTP Flood攻击。HTTP Flood是针对WEB服务在第七层协议发起的攻击，它巨大危害性主要表现在三个方面，发起方便；过滤困难；影响深远。SYN Flood和DNS Query Flood都需要攻击者以root权限控制大批量的傀儡机，收集大量root权限的傀儡机是很花费时间精力的一件事情，而且在攻击过程中傀儡机会由于流量异常被管理员发现，攻击者的资源快速损耗而补充缓慢，导致攻击强度明显降低而且不可长期持续。HTTP Flood攻击则不同，攻击者并不需要控制大批的傀儡机，取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理，攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源，花几天时间获取上午的代理并不是难事，因此攻击容易发起而且可以长期高强度的持续。另一方面，HTTPFlood攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关，安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作的很好的规则，换一个场景可能带来大量的误杀。最后，HTTP Flood攻击会引起严重的连锁反应，不仅仅是直接导致被攻击的WEB前端响应缓慢，还间接攻击到后端的JAVA等业务层逻辑以及更后端的数据库服务，增大他们的压力，甚至对日至存储服务器都带来影响。有意思的是，HTTPFlood还有个剖有历史渊源的昵称叫做CC攻击。CC是Challenge Collapsar的缩写，而Collapsar是国内一家著名安全公司的DDoS防御设备。从目前的情况来看，不仅仅是Collapsar，所有的硬件防御设备都还在被挑战着，风险并未解除。
关注我们，实时联系
通知公告?如果喜欢本站可以直接点击！?点击此加入晓残博客会员群！?本站免费提供加密解密服务！?伙伴们喜欢本站赏个好评呗！
博客统计日志总数：500 篇评论数目：1710 条标签总数：40 个页面总数：8 个分类总数：17 个友链总数：24 个建站日期：运行天数：2299 天最后更新：订阅博客网站老是被DDOS、CC攻击，请问有什么办法可以防护么？
公司的dz论坛老是被攻击，目前只有1台服务器在运作。机房有硬件防护。但是屏蔽了一些IP之后，不去释放掉（具体是不是攻击有待确认~）。导致很多用户无法访问论坛。
我的思路：多机房的硬件防护，用dns轮询做负载均衡。不去屏蔽IP。
大家觉得这样可行么？有没有更好的解决思路，求指导~
你这就不是攻击，攻击一般就不会一直持续的。你这就是有一些恶意的访问，写个脚本实时解析访问的ip，发现有异常的就自动屏蔽它。也可以安装个安全狗，能过滤掉一些代理方面的请求。
现在很多云厂商都提供防ddos服务啊，比如腾讯云
云加速，牛盾，青松
如果你只是想解决问题，可以转到云平台上。
小站怕啥啊&简单的处理下就好了，比如暂时转去别的网站
看你用户量，以及综合成本的考虑， &比如： 迁移到腾讯，或者阿里 云 上，ddos 以及 cc 攻击，出钱 让他们帮你扛， 你要自己解决的话，可以考虑加cdn ，多台服务器负载均衡， 以及现有的服务器漏洞修复好，上个安全狗，360卫士之类的防护软件，防web应用漏洞攻击工具。 &有钱的话，买个防ddos 的硬件架上。 & &
有安全问题需要解决的话，可以联系我们
以及需要对网站进行安全评估，渗透测试都可以联系我们
用阿里云的弹性网络吧，一个月900块9个IP，按流量收费，攻击流量不算。
ddos这没啥好方法吧，拼带宽后使用快捷导航没有帐号？
防止 DDoS 攻击的五个「大招」！
摘要: 提到 DDoS 攻击，很多人不会陌生。上周，美国当地时间 12 月 29 日，专用虚拟服务器提供商 Linode 遭到DDoS 攻击，直接影响其 Web 服务器的访问，其中 API 调用和管理功能受到严重影响，在被攻击的一周之内仍有部分 ...
提到 DDoS 攻击，很多人不会陌生。上周，美国当地时间 12 月 29 日，专用虚拟服务器提供商 Linode 遭到&&，直接影响其 Web 服务器的访问，其中 API 调用和管理功能受到严重影响，在被攻击的一周之内仍有部分功能不可用，严重影响其业务和成千上万使用 Linode 服务的用户。什么是 DDoS 攻击？DDoS，即分布式拒绝服务(Distributed Denial of Service)攻击，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而成倍地提高拒绝服务攻击的威力。DDoS 的攻击方式有很多种，最基本的 DDoS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的 DoS 攻击一般是采用一对一方式，当攻击目标 CPU 速度低、内存小或者网络带宽小等各项指标值不高时，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得 DoS 攻击的困难程度加大了——目标对恶意攻击包的消化能力加强了不少。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生。DDoS 就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。据统计，2015 年针对企业的 DDoS 攻击持续增长，根据 Akamai 的调查报告，2015 年 DDoS 攻击增长了史无前例的 180% ！对于本次事件的 Linode 来说，早在 2013 年，Linode 就曾受到过大规模的 DDoS 攻击。面对 DDoS 这样的周期性挑衅，我们应该找出被攻击的原因，建立有效的防御体系来抵御攻击。防止 DDoS 攻击的方式1.减少公开暴露之前曝光的的 Booter 网站或者是臭名昭著的 LizardSquad 旗下站 LizardStresser，都提供付费 DDoS 攻击某一目标的服务，而且这些网站都会将攻击伪装成合法的载入测试来进行攻击。这个黑客组织在 2014 年的圣诞节期间利用 DDoS 攻击了微软的 Xbox Live 和索尼的 PSN 网络，令许多玩家很长时间无法正常娱乐。对于企业来说，减少公开暴露是防御 DDoS 攻击的有效方式，对 PSN 网络设置安全群组和私有网络，及时关闭不必要的服务等方式，能够有效防御网络黑客对于系统的窥探和入侵。具体措施包括禁止对主机的非开放服务的访问，限制同时打开的 SYN 最大连接数，限制特定 IP 地址的访问，启用防火墙的防 DDoS 的属性等。（图片来源：&&）2.利用扩展和冗余DDoS 攻击针对不同协议层有不同的攻击方式，因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然，保证系统具有一定的弹性和可扩展性，确保在 DDoS 攻击期间可以按需使用，尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡，Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量，避免流量过度集中，还能做到按需缓存，使系统不易遭受 DDoS 攻击。3.充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力，假若仅仅有 10M 带宽的话，无论采取什么措施都很难对抗当今的 SYNFlood 攻击，至少要选择 100M 的共享带宽，最好的当然是挂在1000M 的主干上了。但需要注意的是，主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的，若把它接在 100M 的交换机上，它的实际带宽不会超过 100M，再就是接在 100M 的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为 10M，这点一定要搞清楚。4.分布式服务拒绝 DDoS 攻击所谓分布式资源共享服务器就是指数据和程序可以不位于一个服务器上，而是分散到多个服务器。分布式有利于任务在整个计算机系统上进行分配与优化，克服了传统集中式系统会导致中心主机资源紧张与响应瓶颈的缺陷，分布式数据中心规模越大，越有可能分散 DDoS 攻击的流量，防御攻击也更加容易。5.实时监控系统性能除了以上这些措施，对于系统性能的实时监控也是预防 DDoS 攻击的重要方式。不合理的 DNS 服务器配置也会导致系统易受 DDoS 攻击，系统监控能够实时监控系统可用性、API、CDN 以及 DNS 等第三方服务商性能，监控网络节点，清查可能存在的安全隐患，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机加强监控是非常重要的。另外，通过缩短 SYN 半连接的 time out 时间也能有效防止 DDoS 攻击，系统监控能够通过自主设置的 Time out 阈值发送报警，对系统情况进行整体的把控。(图片来源：Cloud Test)
声明：本文搜集整理自互联网，版权归原作者所有，文中所述不代表本站观点，若有侵权或转载等不当之处请联系我们处理，请我们一起为维护良好的互联网秩序而努力，谢谢！联系方式见网站首页右下角。
刚表态过的朋友 ()
上一篇：下一篇：