DDOS全名是Distributed Denial of service (分布式拒绝服务),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问。
能瞬间造成对方电脑死机或假死,被攻击不到1秒钟,电脑就已经死机和假死,鼠标图标不动了,系统发出滴滴的声音。还有CPU使用率高等现象。
用合法并完整的连接攻击对方,有UDP碎片,还有SYN洪水,甚至还有TCP洪水攻击,这些攻击都是针对服务器的常见流量攻击,防火墙一般都无法过滤掉这种攻击。
这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
发送伪造源IP的 TCP数据包,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
通过控制大量肉鸡同时连接访问网站,造成网站瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍。
通过控制大量肉鸡同时连接网站端口,一点连接建立就不断开,一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,可以绕过防火墙到达服务器。
通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
保证网络设备不能成为瓶颈,选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的1使用,因为采用此技术会较大降低网络通信能力。
网络带宽直接决定了能抗受攻击的能力,保证服务器足够大的宽带可以有效的处理SYN包。
在有网络带宽保证的前提下,尽量提升硬件配置,选择高配置服务器硬件。
把网站尽可能做成静态页面,能大大提高抗攻击能力,若非需要动态脚本调用,换台主机,避免遭受攻击时连累主服务器,最好为拒绝使用代理的访问,
开启Win2000和Win2003服务器的TCP/IP栈,可以有效抵挡SYN包。
绿盟黑洞防火墙:优点是更新快,技术支持比较好,在100M环境下对syn-flood有绝对优势。缺点是文档和信息缺乏,同时工作(软硬件两方面)不是很稳定。
云Web防火墙:云盾依托实时更新的安全云系统,主动收集来自全世界的网站攻击手段,自动更新所有安全节点的防护规则,实时阻断各种常见与不常见的SQL注入、跨站脚本等攻击。
网络追查――询问上一级网络运营商,弄清楚攻击源头。
系统优化――通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。
增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高。
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。
拥有足够的容量和足够的资源(缺点:耗费资金、大部分处于空闲状态)。
网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DDos的攻击。
过滤不必要的服务和端口,即在路由器上过滤假IP,只开放服务端口成为目前很多服务器的流行做法。
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。
RFC1918 IP地址是内部网的IP地址,(例如:10.0.0.0、192.168.0.0 和172.16.0.0),过滤掉这些IP地址可以减轻DDos的攻击。
应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽。
1、检查攻击来源,分辨出真、假IP地址,了解IP来自哪些网段,关闭相关机器。如果发或在服务器或路由器上采取临时过滤IP地址的方法。
2、找出攻击者所经过的路由,把攻击屏蔽掉。若骇客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。
3、在路由器上滤掉ICMP。虽无法完全消除入侵,但可以有效的防止攻击规模的升级。
