第一:DDoS攻击的常用方式有哪些?
DDoS攻击手段上除了洪水型的攻击外,还会有缓慢而坚定地发送请求以长期占用资源,一点一滴的蚕食目标。本次针对巴西世界杯的攻击是洪水流量攻击,从而导致服务器宕机数小时。
从技术方面讲,攻击者常用的DDoS攻击方式主要有以下几种:
SYN/ACK Flood 攻击:这种攻击方法是经典最有效的DDoS方法,主要是通过向受害主机发送大量伪造源 IP 和源端口的 SYN 或 ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,可通杀各种系统的网络服务。这种攻击由于源头都是伪造的,所以追踪起来比较困难。但是,该攻击实施起来有一定难度,需要大量高带宽的僵尸主机。
TCP 全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的。一般情况下,常规防火墙大多对于正常的 TCP 连接是放过的,但是很多网络服务程序能接受的 TCP 连接数是有限的。TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的 TCP 连接,直到服务器的内存等资源被耗尽而被拖跨, 从而造成拒绝服务。种攻击的特点是可绕过一般防火墙的防护而达到攻击;缺点是需要找很多僵尸主机,且僵尸主机的IP 是暴露,易被追踪。
刷 Script 脚本攻击:这种攻击是跟服务器建立正常的TCP连接, 并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用。一般来说, 提交一个指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是非常大。攻击者只需通过代理向目标服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务。这种攻击的特点是可以完全绕过普通的防火墙防护, 轻松找一些代理就可实施攻击;缺点是对付只有静态页面的网站效果会大打折扣,并且会暴露攻击者的IP地址。
第二:有效防范网站DDoS攻击的方法有哪些?
预防DDoS攻击必须透过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注重系统安全,避免被黑客和自动化的DDoS程序植入攻击程序,以免成为黑客攻击的帮凶。网络管理人员可采取以下方法做好预防工作。
1、定期扫描网络节点
扫描网络管理员要定期扫描网络节点,分析并发现可能存在的安全漏洞,对新出现的漏洞及时进行修补。特别是骨干点的计算机,由于需要占用较高的带宽,因此,对这些主机本身加强主机安全是非常重要的。而且,连接到网络主节点的都是服务器级别的计算机,所以,定期扫描漏洞就变得更加重要了。
2、配置防火墙
防火墙本身具备了抵御部分DDoS攻击的能力。在发现攻击行为存在时,可以牺牲备用设备引导攻击数据流,这样可以减轻或避免正常业务的顺利进行。当然如果企业或用户对网络的要求很高,笔者建议设立专用的服务器来防止DDoS攻击。
3、充分利用网络设备
保护网络资源合理配置使用路由器、防火墙等网络设备,它们可将网络有效地保护起来。相对服务器的重启,网络路由器等网络设备的重启要容易得多,而且服务器数据不会有太多的损失。负载均衡技术的使用,可以在攻击发生时自动均衡设备的使用情况,最大限度地降低DDoS的攻击。
4、过滤服务及端口
在默认情况下,服务器的很多端口是开放的,用户可以使用防火墙或一些管理软件来过滤不必要的服务和端口。只开放服务端口成为保障网络安全的流行做法,例如,用户可能会经常看到一个服务器只开放80端口等。
5、检查访问者的来源
通过反向路由器查询的方法检查访问者的IP地址是否是真,如果发现虚假IP,应立即将其屏蔽。黑客在攻击时常采用假IP隐藏自己,因此,网络管理员有必要了解自己网络的用户访问情况。
6、过滤所有被保留的IP地址
我们知道类似
7、限制SYN/ICMP流量
用户应在防火墙上配置SYN/ICMP的最大流量来限制SYN/ICMP所能占用的最大带宽。当出现大量的超过限定的SYN/ICMP流量时,管理员需要立即排查区分是否存在非法攻击行为。限制SYN/ICMP也是过去对付DDoS攻击最常使用的。据有关报道,电信级运营商已经开始积极运做,准备推出一系列的安全增值服务,IDC服务器托管商也已经积极行动起来,避免用户免受DDoS攻击的侵害,安全厂商更是在积极研究DDoS攻击的原理及防御措施,力求最大限度地扼杀DDoS攻击。笔者认为,任何个体是很难防御住巨大的数据流攻击,只有运营商、企业以及安全厂商共同联合起来,才能更好地克服DDoS给用户带来的伤害。
最后,青岛做网站要说的是虽然完全杜绝 DDoS是不可能的,但通过适当的措施抵御DDoS攻击是可以做到的。DDoS攻击与防御在不断的攻防博弈中,攻击手段和防护手段都在不断的更新,提前建立完备的安全防御措施是十分必要的。
鲁公网安备 37021402001407号