DDOS攻擊原理與解決方案
2015-06-18 來源:網(wǎng)零數(shù)據(jù)(深圳)有限公司 唯一官方網(wǎng)站: www.w0.cn 點(diǎn)擊次數(shù):4869
DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺(tái)服務(wù)器就組成了DDOS攻擊,DDOS 最早可追溯到1996年最初,在中國(guó)2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模.
DDoS攻擊概念
DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請(qǐng)求來占用過多的服務(wù)資源,從而使服務(wù)器無法處理合法用戶的指令。
DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的,當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各 項(xiàng)性能指標(biāo)不高,它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)的處理能力迅速增長(zhǎng),內(nèi)存大大增加,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò),這使得DoS攻擊的困難 程度加大了 - 目標(biāo)對(duì)惡意攻擊包的 "消化能力"加強(qiáng)了不少,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包,但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包 ,這樣一來攻擊就不會(huì)產(chǎn)生什么效果。
這時(shí)候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運(yùn)而生了。你理解了DoS攻擊的話,它的原理就很簡(jiǎn)單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺(tái)攻擊機(jī) 來攻擊不再能起作用的話,攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢?用100臺(tái)呢?DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻,以比從前更大的規(guī)模來進(jìn)攻受害者。
高速?gòu)V泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖?也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí),黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí),總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近 的機(jī)器,因?yàn)榻?jīng)過路由器的跳數(shù)少,效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以G為級(jí)別的,大城市之間更可以達(dá)到2.5G的連接,這使得攻擊可以從更遠(yuǎn)的地方或者 其他城市發(fā)起,攻擊者的傀儡機(jī)位置可以在分布在更大的范圍,選擇起來更靈活了。
DDOS的產(chǎn)生
DDOS最早可追述到1996年最初,在中國(guó)2002年開始頻繁出現(xiàn),2003年已經(jīng)初具規(guī)模。近幾年由于寬帶的普及,很多網(wǎng)站開始盈利,其中很多非法網(wǎng)站利潤(rùn)巨大,造成同 行之間互相攻擊,還有一部分人利用網(wǎng)絡(luò)攻擊來敲詐錢財(cái)。同時(shí)windows 平臺(tái)的漏洞大量的被公布, 流氓軟件,病毒,木馬大量充斥著網(wǎng)絡(luò),有些技術(shù)的人可以很容易非 法入侵控制大量的個(gè)人計(jì)算機(jī)來發(fā)起DDOS攻擊從中謀利。攻擊已經(jīng)成為互聯(lián)網(wǎng)上的一種最直接的競(jìng)爭(zhēng)方式,而且收入非常高,利益的驅(qū)使下,攻擊已經(jīng)演變成非常完善的 產(chǎn)業(yè)鏈。通過在大流量網(wǎng)站的網(wǎng)頁里注入病毒木馬,木馬可以通過windows平臺(tái)的漏洞感染瀏覽網(wǎng)站的人,一旦中了木馬,這臺(tái)計(jì)算機(jī)就會(huì)被后臺(tái)操作的人控制,這臺(tái)計(jì) 算機(jī)也就成了所謂的肉雞,每天都有人專門收集肉雞然后以幾毛到幾塊的一只的價(jià)格出售,因?yàn)槔嫘枰舻娜司蜁?huì)購(gòu)買,然后遙控這些肉雞攻擊服務(wù)器。
被DDoS攻擊時(shí)的現(xiàn)象
繁還セ髦骰嫌寫罅康卻腡CP連接
吠韁諧涑庾糯罅康奈抻玫氖蒞吹刂肺?nbsp;
分圃旄吡髁課抻檬藎斐賞纈等故芎χ骰薹ㄕ:屯飩繽ㄑ?nbsp;
防檬芎χ骰峁┑姆窕虼湫檣系娜畢藎錘錘咚俚姆⒊鎏囟ǖ姆袂肭螅故芎χ骰薹笆貝硭姓?/span>
請(qǐng)求
費(fèi)現(xiàn)厥被嵩斐上低乘闌?nbsp;
大級(jí)別攻擊運(yùn)行原理
一個(gè)比較完善的DDoS攻擊體系分成四大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別,對(duì)第4部分的 受害者來說,DDoS的實(shí)際攻擊包是從第3部分攻擊傀儡機(jī)上發(fā)出的,第2部分的控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī),黑客有控制權(quán)或者是部分 的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上,這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令,通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí), 這些傀儡機(jī)器并沒有什么異常,只是一旦黑客連接到它們進(jìn)行控制,并發(fā)出指令的時(shí)候,攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。
有的朋友也許會(huì)問道: "為什么黑客不直接去控制攻擊傀儡機(jī),而要從控制傀儡機(jī)上轉(zhuǎn)一下呢?"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度 來說,肯定不愿意被捉到,而攻擊者使用的傀儡機(jī)越多,他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后,高水平的攻擊者會(huì)首先做兩件事:1. 考慮如何 留好后門!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會(huì)不管三七二十一把日志全都刪掉,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒 了就會(huì)知道有人干了壞事了,頂多無法再?gòu)娜罩景l(fā)現(xiàn)是誰干的而已。相反,真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉,讓人看不到異常的情況。這樣可以長(zhǎng)時(shí)間地利用傀 儡機(jī)。
但是在第3部分攻擊傀儡機(jī)上清理日志實(shí)在是一項(xiàng)龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對(duì)這個(gè)任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機(jī)弄得 不是很干凈,通過它上面的線索找到了控制它的上一級(jí)計(jì)算機(jī),這上級(jí)的計(jì)算機(jī)如果是黑客自己的機(jī)器,那么他就會(huì)被揪出來了。但如果這是控制用的傀儡機(jī)的話,黑客 自身還是安全的。控制傀儡機(jī)的數(shù)目相對(duì)很少,一般一臺(tái)就可以控制幾十臺(tái)攻擊機(jī),清理一臺(tái)計(jì)算機(jī)的日志對(duì)黑客來講就輕松多了,這樣從控制機(jī)再找到黑客的可能性也 大大降低。
黑客如何組織一次DDoS攻擊
步驟
這里用 "組織"這個(gè)詞,是因?yàn)镈DoS并不象入侵一臺(tái)主機(jī)那樣簡(jiǎn)單。一般來說,黑客進(jìn)行DDoS攻擊時(shí)會(huì)經(jīng)過這樣的步驟: 搜集了解目標(biāo)的情況
下列情況是黑客非常關(guān)心的情報(bào):
被攻擊目標(biāo)主機(jī)數(shù)目、地址情況 目標(biāo)主機(jī)的配置、性能 目標(biāo)的帶寬
對(duì)于DDoS攻擊者來說,攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn),如http://www.abc.com,有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn),一個(gè)大的網(wǎng)站可能有很多臺(tái)主 機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。
以abc.com為例,一般會(huì)有下列地址都是提供http://www.abc.com服務(wù)的:122.226.199.3 122.226.167.4 122.226.167.5......
如果要進(jìn)行DDoS攻擊的話,應(yīng)該攻擊哪一個(gè)地址呢?使122.226.199.3這臺(tái)機(jī)器癱掉,但其他的主機(jī)還是能向外提供www服務(wù),所以想讓別人訪問不到 http://www.abc.com的話,要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中,一個(gè)IP地址往往還代表著數(shù)臺(tái)機(jī)器:網(wǎng)站維護(hù)者使用了四層或七層交換機(jī)來做負(fù)載 均衡,把對(duì)一個(gè)IP地址的訪問以特定的算法分配到下屬的每個(gè)主機(jī)上去。這時(shí)對(duì)于DDoS攻擊者來說情況就更復(fù)雜了,他面對(duì)的任務(wù)可能是讓幾十臺(tái)主機(jī)的服務(wù)都不正常。
所以說事先搜集情報(bào)對(duì)DDoS攻擊者來說是非常重要的,這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問題。簡(jiǎn)單地考慮一下,在相同的條件下,攻擊同一站點(diǎn)的2臺(tái)主 機(jī)需要2臺(tái)傀儡機(jī)的話,攻擊5臺(tái)主機(jī)可能就需要5臺(tái)以上的傀儡機(jī)。有人說做攻擊的傀儡機(jī)越多越好,不管你有多少臺(tái)主機(jī)我都用盡量多的傀儡機(jī)來攻就是了,反正傀儡 機(jī)超過了時(shí)候效果更好。
但在實(shí)際過程中,有很多黑客并不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊,這時(shí)候攻擊的盲目性就很大了,效果如何也要靠運(yùn)氣。其實(shí)做黑客也象網(wǎng)管員一樣,是不 能偷懶的。一件事做得好與壞,態(tài)度最重要,水平還在其次。
占領(lǐng)傀儡機(jī)
黑客最感興趣的是有下列情況的主機(jī):
鏈路狀態(tài)好的主機(jī) 性能好的主機(jī) 安全管理水平差的主機(jī)
這一部分實(shí)際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS并列的攻擊方式。簡(jiǎn)單地說,就是占領(lǐng)和控制被攻擊的主機(jī)。取得最高的管理權(quán)限,或者至 少得到一個(gè)有權(quán)限完成DDoS攻擊任務(wù)的帳號(hào)。對(duì)于一個(gè)DDoS攻擊者來說,準(zhǔn)備好一定數(shù)量的傀儡機(jī)是一個(gè)必要的條件,下面說一下他是如何攻擊并占領(lǐng)它們的。
首先,黑客做的工作一般是掃描,隨機(jī)地或者是有針對(duì)性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器,像程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞 … (簡(jiǎn)直舉不勝舉啊),都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。
總之黑客現(xiàn)在占領(lǐng)了一臺(tái)傀儡機(jī)了!然后他做什么呢?除了上面說過留后門擦腳印這些基本工作之外,他會(huì)把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊 機(jī)上,會(huì)有一個(gè)DDoS的發(fā)包程序,黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。
實(shí)際攻擊
經(jīng)過前2個(gè)階段的精心準(zhǔn)備之后,黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話,實(shí)際攻擊過程反而是比較簡(jiǎn)單的。就象圖示里的那樣,黑客登錄到做為 控制臺(tái)的傀儡機(jī),向所有的攻擊機(jī)發(fā)出命令: "預(yù)備~ ,瞄準(zhǔn)~,開火!"。這時(shí)候埋伏在攻擊機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令,一起向受害主機(jī)以高速度發(fā)送 大量的數(shù)據(jù)包,導(dǎo)致它死機(jī)或是無法響應(yīng)正常的請(qǐng)求。黑客一般會(huì)以遠(yuǎn)遠(yuǎn)超出受害方處理能力的速度進(jìn)行攻擊,他們不會(huì)"憐香惜玉"。
老道的攻擊者一邊攻擊,還會(huì)用各種手段來監(jiān)視攻擊的效果,在需要的時(shí)候進(jìn)行一些調(diào)整。簡(jiǎn)單些就是開個(gè)窗口不斷地ping目標(biāo)主機(jī),在能接到回應(yīng)的時(shí)候就再加大 一些流量或是再命令更多的傀儡機(jī)來加入攻擊。
防范DDOS攻擊的工具軟件:CC v2.0
防范DDOS比較出色的防火墻:硬件有Cisco的Guard、Radware的DefensePro,綠盟的黑洞,傲盾硬件的KFW系列,傲盾軟件的傲盾防火墻。軟件有冰盾DDOS防火墻、 8Signs Firewall等。
DDOS的主要幾個(gè)攻擊
SYN變種攻擊
發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié)這種攻擊會(huì)造成一些防火墻處理錯(cuò)誤鎖死,消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。
TCP混亂數(shù)據(jù)包攻擊 發(fā)送偽造源IP的 TCP數(shù)據(jù)包,TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等,會(huì)造成一些防火墻處理錯(cuò)誤鎖死,消耗服務(wù)器CPU內(nèi)存的同 時(shí)還會(huì)堵塞帶寬。
針對(duì)用UDP協(xié)議的攻擊
很多聊天室,視頻音頻軟件,都是通過UDP數(shù)據(jù)包傳輸?shù)?攻擊者針對(duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議,發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包,這種攻擊非常難防護(hù),一般防護(hù) 墻通過攔截攻擊數(shù)據(jù)包的特征碼防護(hù),但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔截針對(duì)WEB Server的多連接攻擊 通過控制大量肉雞同時(shí)連接訪問網(wǎng)站,造成網(wǎng)站無法處理癱瘓,這種攻擊和正常訪問網(wǎng)站是一樣的,只是瞬間訪問量增加幾十倍甚至上百倍,有些防火墻可以通過限 制每個(gè)連接過來的IP連接數(shù)來防護(hù),但是這樣會(huì)造成正常用戶稍微多打開幾次網(wǎng)站也會(huì)被封。
針對(duì)WEB Server的變種攻擊
通過控制大量肉雞同時(shí)連接訪問網(wǎng)站,一點(diǎn)連接建立就不斷開,一直發(fā)送發(fā)送一些特殊的GET訪問請(qǐng)求造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費(fèi)大量的CPU,這樣通過限制每 個(gè)連接過來的IP連接數(shù)就失效了,因?yàn)槊總(gè)肉雞可能只建立一個(gè)或者只建立少量的連接。這種攻擊非常難防護(hù),后面給大家介紹防火墻的解決方案
針對(duì)WEB Server的變種攻擊
通過控制大量肉雞同時(shí)連接網(wǎng)站端口,但是不發(fā)送GET請(qǐng)求而是亂七八糟的字符,大部分防火墻分析攻擊數(shù)據(jù)包前三個(gè)字節(jié)是GET字符然后來進(jìn)行http協(xié)議的分析,這 種攻擊,不發(fā)送GET請(qǐng)求就可以繞過防火墻到達(dá)服務(wù)器,一般服務(wù)器都是共享帶寬的,帶寬不會(huì)超過10M 所以大量的肉雞攻擊數(shù)據(jù)包就會(huì)把這臺(tái)服務(wù)器的共享帶寬堵塞造 成服務(wù)器癱瘓,這種攻擊也非常難防護(hù),因?yàn)槿绻缓?jiǎn)單的攔截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包,會(huì)錯(cuò)誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問,后面給 大家介紹防火墻的解決方案
針對(duì)游戲服務(wù)器的攻擊
因?yàn)橛螒蚍⻊?wù)器非常多,這里介紹最早也是影響最大的傳奇游戲,傳奇游戲分為登陸注冊(cè)端口7000,人物選擇端口7100,以及游戲運(yùn)行端口7200,7300,7400等,因?yàn)橛?戲自己的協(xié)議設(shè)計(jì)的非常復(fù)雜,所以攻擊的種類也花樣倍出,大概有幾十種之多,而且還在不斷的發(fā)現(xiàn)新的攻擊種類,這里介紹目前最普遍的假人攻擊,假人攻擊是通過 肉雞模擬游戲客戶端進(jìn)行自動(dòng)注冊(cè)、登陸、建立人物、進(jìn)入游戲活動(dòng)從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家,很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。
以上介紹的幾種最常見的攻擊也是比較難防護(hù)的攻擊。一般基于包過濾的防火墻只能分析每個(gè)數(shù)據(jù)包,或者有限的分析數(shù)據(jù)連接建立的狀態(tài),防護(hù)SYN,或者變種的 SYN,ACK攻擊效果不錯(cuò),但是不能從根本上來分析tcp,udp協(xié)議,和針對(duì)應(yīng)用層的協(xié)議,比如http,游戲協(xié)議,軟件視頻音頻協(xié)議,現(xiàn)在的新的攻擊越來越多的都是針對(duì)應(yīng)用 層協(xié)議漏洞,或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù),或者干脆模擬正常的數(shù)據(jù)流,單從數(shù)據(jù)包層面,分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù),根本沒辦法很好的防護(hù) 新型的攻擊。
SYN攻擊解析
SYN攻擊屬于DOS攻擊的一種,它利用TCP協(xié)議缺陷,通過發(fā)送大量的半連接請(qǐng)求,耗費(fèi)CPU和內(nèi)存資源。TCP協(xié)議建立連接的時(shí)候需要雙方相互確認(rèn)信息,來防止連接被 偽造和精確控制整個(gè)數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效。所以TCP協(xié)議采用三次握手建立一個(gè)連接。
第一次握手:建立連接時(shí),客戶端發(fā)送syn包到服務(wù)器,并進(jìn)入SYN_SEND狀態(tài),等待服務(wù)器確認(rèn);
第二次握手:服務(wù)器收到syn包,必須確認(rèn)客戶的SYN 同時(shí)自己也發(fā)送一個(gè)SYN包 即SYN+ACK包,此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認(rèn)包ACK此包發(fā)送完畢,客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài),完成三次握手。
SYN攻擊利用TCP協(xié)議三次握手的原理,大量發(fā)送偽造源IP的SYN包也就是偽造第一次握手?jǐn)?shù)據(jù)包,服務(wù)器每接收到一個(gè)SYN包就會(huì)為這個(gè)連接信息分配核心內(nèi)存并放入 半連接隊(duì)列,如果短時(shí)間內(nèi)接收到的SYN太多,半連接隊(duì)列就會(huì)溢出,操作系統(tǒng)會(huì)把這個(gè)連接信息丟棄造成不能連接,當(dāng)攻擊的SYN包超過半連接隊(duì)列的最大值時(shí),正常的 客戶發(fā)送SYN數(shù)據(jù)包請(qǐng)求連接就會(huì)被服務(wù)器丟棄, 每種操作系統(tǒng)半連接隊(duì)列大小不一樣所以抵御SYN攻擊的能力也不一樣。那么能不能把半連接隊(duì)列增加到足夠大來保證不 會(huì)溢出呢,答案是不能,每種操作系統(tǒng)都有方法來調(diào)整TCP模塊的半連接隊(duì)列最大數(shù),例如Win2000操作系統(tǒng)在注冊(cè)表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作系統(tǒng)用變量tcp_max_syn_backlog來定義半連接 隊(duì)列的最大數(shù)。但是每建立一個(gè)半連接資源就會(huì)耗費(fèi)系統(tǒng)的核心內(nèi)存,操作系統(tǒng)的核心內(nèi)存是專門提供給系統(tǒng)內(nèi)核使用的內(nèi)存不能進(jìn)行虛擬內(nèi)存轉(zhuǎn)換是非常緊缺的資源 windows2000 系統(tǒng)當(dāng)物理內(nèi)存是4g的時(shí)候 核心內(nèi)存只有不到300M,系統(tǒng)所有核心模塊都要使用核心內(nèi)存所以能給半連接隊(duì)列用的核心內(nèi)存非常少。Windows 2003 默認(rèn)安 裝情況下,WEB SERVER的80端口每秒鐘接收5000個(gè)SYN數(shù)據(jù)包一分鐘后網(wǎng)站就打不開了。標(biāo)準(zhǔn)SYN數(shù)據(jù)包64字節(jié) 5000個(gè)等于 5000*64 *8(換算成bit)/1024=2500K也就是 2.5M帶寬 ,如此小的帶寬就可以讓服務(wù)器的端口癱瘓,由于攻擊包的源IP是偽造的很難追查到攻擊源,,所以這種攻擊非常多。
如何防止和減少DDOS攻擊的危害
拒絕服務(wù)攻擊的發(fā)展
從拒絕服務(wù)攻擊誕生到現(xiàn)在已經(jīng)有了很多的發(fā)展,從最初的簡(jiǎn)單Dos到現(xiàn)在的DdoS。那么什么是Dos和DdoS呢?DoS是一種利用單臺(tái)計(jì)算機(jī)的攻擊方式。而DdoS (Distributed Denial of Service,分布式拒絕服務(wù))是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布、協(xié)作的大規(guī)模攻擊方式,主要瞄準(zhǔn)比較大的站點(diǎn),比如 一些商業(yè)公司、搜索引擎和政府部門的站點(diǎn)。DdoS攻擊是利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊,這樣來勢(shì)迅猛的攻擊令人難以防備,因此具有較大的破壞性。如果 說以前網(wǎng)絡(luò)管理員對(duì)抗Dos可以采取過濾IP地址方法的話,那么面對(duì)當(dāng)前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難,如何采取措施有 效的應(yīng)對(duì)呢?下面我們從兩個(gè)方面進(jìn)行介紹。
預(yù)防為主保證安全
DdoS攻擊是黑客最常用的攻擊手段,下面列出了對(duì)付它的一些常規(guī)方法。
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn),清查可能存在的安全漏洞,對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬,是黑客利用的最佳位置,因此對(duì) 這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī),所以定期掃描漏洞就變得更加重要了。
(2)在骨干節(jié)點(diǎn)配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候,可以將攻擊導(dǎo)向一些犧牲主機(jī),這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī) 可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)
(3)用足夠的機(jī)器承受黑客攻擊
這是一種較為理想的應(yīng)對(duì)策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失,或許未等用 戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài),和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。
(4)充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源
所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備,它們可將網(wǎng)絡(luò)有效地保護(hù)起來。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)最先死掉的是路由器,但其他機(jī)器沒有死。死掉的路由器經(jīng)重啟 后會(huì)恢復(fù)正常,而且啟動(dòng)起來還很快,沒有什么損失。若其他服務(wù)器死掉,其中的數(shù)據(jù)會(huì)丟失,而且重啟服務(wù)器又是一個(gè)漫長(zhǎng)的過程。特別是一個(gè)公司使用了負(fù)載均衡設(shè) 備,這樣當(dāng)一臺(tái)路由器被攻擊死機(jī)時(shí),另一臺(tái)將馬上工作。從而最大程度的削減了DdoS的攻擊。
(5)過濾不必要的服務(wù)和端口
過濾不必要的服務(wù)和端口,即在路由器上過濾假IP ……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防 火墻上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方 式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個(gè)網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應(yīng)該把 它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時(shí)偽造的大量虛假內(nèi)部IP過濾,這樣也可以減輕DdoS的攻擊。
(8)限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時(shí),說明不是正常的網(wǎng)絡(luò)訪問 ,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對(duì)于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
尋找機(jī)會(huì)應(yīng)對(duì)攻擊
如果用戶正在遭受攻擊,他所能做的抵御工作將是非常有限的。因?yàn)樵谠緵]有準(zhǔn)備好的情況下有大流量的災(zāi)難性攻擊沖向用戶,很可能在用戶還沒回過神之際,網(wǎng) 絡(luò)已經(jīng)癱瘓。但是,用戶還是可以抓住機(jī)會(huì)尋求一線希望的。
(1)檢查攻擊來源,通常黑客會(huì)通過很多假IP地址發(fā)起攻擊,此時(shí),用戶若能夠分辨出哪些是真IP哪些是假IP地址,然后了解這些IP來自哪些網(wǎng)段,再找網(wǎng)網(wǎng)管理 員將這些機(jī)器關(guān)閉,從而在第一時(shí)間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來自外面的而不是公司內(nèi)部的IP的話,可以采取臨時(shí)過濾的方法,將這些IP地址在服務(wù)器或路由器 上過濾掉。
(2)找出攻擊者所經(jīng)過的路由,把攻擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊,用戶可把這些端口屏蔽掉,以阻止入侵。不過此方法對(duì)于公司網(wǎng)絡(luò)出口只有一個(gè),而 又遭受到來自外部的DdoS攻擊時(shí)不太奏效,畢竟將出口端口封閉后所有計(jì)算機(jī)都無法訪問internet了。
(3)最后還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時(shí)他無法完全消除入侵,但是過濾掉ICMP后可以有效的防止攻擊規(guī)模的升級(jí),也可以在一定 程度上降低攻擊的級(jí)別。
不知道身為網(wǎng)絡(luò)管理員的你是否遇到過服務(wù)器因?yàn)榫芙^服務(wù)攻擊(DDOS攻擊)都癱瘓的情況呢?就網(wǎng)絡(luò)安全而言目前最讓人擔(dān)心和害怕的入侵攻擊就要算是DDOS攻 擊了。他和傳統(tǒng)的攻擊不同,采取的是仿真多個(gè)客戶端來連接服務(wù)器,造成服務(wù)器無法完成如此多的客戶端連接,從而無法提供服務(wù)。
目前網(wǎng)絡(luò)安全界對(duì)于DDOS的防范最有效的防御辦法
分布式集群防御:
由分布在全世界各個(gè)國(guó)家以及地區(qū)的服務(wù)器組成一個(gè)龐大的網(wǎng)絡(luò)系統(tǒng),每個(gè)服務(wù)器相當(dāng)于一個(gè)節(jié)點(diǎn),每個(gè)節(jié)點(diǎn)服務(wù)器可配置多個(gè)IP地址,用戶訪問也通過這些分布在 不同地方的節(jié)點(diǎn)訪問,而真實(shí)數(shù)據(jù)所在的服務(wù)器IP是不對(duì)外公布的;這樣不僅起到像CDN一樣有就近訪問加速和帶寬分流的作用,最重要的是讓網(wǎng)絡(luò)攻擊者也無法檢測(cè)到 真實(shí)服務(wù)器IP,因此遭受攻擊只是我們節(jié)點(diǎn)服務(wù)器IP;
我們的智能DNS解析系統(tǒng),不僅能分地區(qū)、分運(yùn)營(yíng)商線路設(shè)置訪問,還能針對(duì)不通的網(wǎng)絡(luò)應(yīng)用服務(wù)設(shè)置監(jiān)測(cè)端口,當(dāng)遭受攻擊使一個(gè)節(jié)點(diǎn)不能提供服務(wù)后會(huì)根據(jù)優(yōu)先 級(jí)設(shè)置自動(dòng)切換到另一個(gè)節(jié)點(diǎn),這樣只要有一個(gè)節(jié)點(diǎn)能正常提供服務(wù)就能讓用戶正常訪問;
為了能防御大規(guī)模的DDOS攻擊,為用戶提供優(yōu)質(zhì)的服務(wù),我司精選了一些IDC合作伙伴,組建了分布式集群防御網(wǎng)絡(luò),每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊,且可根 據(jù)需求來增加節(jié)點(diǎn)無限擴(kuò)展防御能力。
無論遭受SYN小包攻擊,還是肉雞的UDP攻擊,使用我們分布式集群防御在保障您服務(wù)器或者數(shù)據(jù)安全的狀態(tài)下,只影響一個(gè)線路,一個(gè)地區(qū),一個(gè)省或者一個(gè)省的一 條線路的用戶。宕機(jī)檢測(cè)系統(tǒng)會(huì)在一分鐘內(nèi)更換已經(jīng)癱瘓的節(jié)點(diǎn)服務(wù)器保證網(wǎng)站正常狀態(tài)。還可以把攻擊者發(fā)出的數(shù)據(jù)包全部返回到發(fā)送點(diǎn),使攻擊源變成癱瘓狀態(tài),從 而削減攻擊能力。
按上述方法和思路去防范DDOS攻擊,效果是非常顯著的,可將攻擊帶來的損失降低到最校
工信部:
公安部: