vps网站解析域名,强大的技术团队网站建设,贵司不断优化网站建设,网站开发类型什么意思我们现在来分析DDOS的攻击原理。 首先#xff0c;DDOS是英文Distributed Denial of Service的缩写#xff0c;意思是分布式拒绝服务。拒绝服务又是什么意思呢#xff1f;就是采取一些垃圾数据包来阻塞网站的网络通道#xff0c;导致让网站不能正常访问。分布式服 务拒绝攻击…我们现在来分析DDOS的攻击原理。 首先DDOS是英文Distributed Denial of Service的缩写意思是分布式拒绝服务。拒绝服务又是什么意思呢就是采取一些垃圾数据包来阻塞网站的网络通道导致让网站不能正常访问。分布式服 务拒绝攻击就是用一台主服务器来控制N台肉鸡来对目标服务器进行服务拒绝攻击的方式 我们现在来讲讲被DDOS攻击的症状。 首先是网站如果打不开的话可以尝试着用3389连接一下服务器看看然后还可以用PING命令来测试再一种方式就是用telnet来登录80端口看看看会不会出现黑屏。如果这些方式测试都连接不上的话那就说明受到DDOS攻击了。然后如果除了80端口之外的其他端口连接都正常PING命令测试也正常但就是80端口访问不了然后看看IIS是否正常可以把80端口改成其他端口测试如果可以正常访问那就说明很可能受到CC攻击。 那现在我们再来详细讲讲几种流行的DDOS攻击方式 SYN/ACK Flood攻击 这种攻击方法是经典最有效的DDOS方法通杀各种系统的网络服务主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包导致主机的缓存 资源被耗尽或忙于发送回应包而造成拒绝服务由于源都是伪造的故追踪起来比较困难缺点是实施起来有一定难度需要高带宽的僵尸主机支持。少量的 这种攻击会导致主机服务器无法访问但却可以Ping的通在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态大量的这种攻击会导致Ping失败、TCP/IP栈失效并会出现系统凝固现象即不响应键 盘和鼠标。普通防火墙大多无法抵御此种攻击。 TCP全连接攻击 这是第二种攻击方式,这种攻击是为了绕过常规防火墙的检查而设计的一般情况下常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力 但对于正常的TCP连接是放过的。殊不知很多WEB服务程序能接受的TCP连接数是有限的一旦有大量的TCP连接即便是正常的也会导致网站访问非常 缓慢甚至无法访问。TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接直到服务器的内存等资源被耗尽而被拖跨从而 造成拒绝服务。这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的缺点是需要找很多僵尸主机并且由于僵尸主机的IP是暴露的因此容易被追踪 CC攻击 现在来讲第三种攻击方式这种攻击方式实质上是针对ASP,PHP,JSP等脚本程序并调用MSSQLServer、MySQLServer、 Oracle等数据库的网站系统而设计的。特征是和服务器建立正常的TCP连接并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用典型的以 小博大的攻击方法。 一般来说提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的而服务器为处理此请求却可能要从上万条记录中去查出某个记录这种 处理过程对资源的耗费是很大的常见的数据库服务器很少能支持数百个查询指令同时执行而这对于客户端来说却是轻而易举的因此攻击者只需通过Proxy 代理向主机服务器大量递交查询指令只需数分钟就会把服务器资源消耗掉而导致拒绝服务常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失 败、数据库主程序占用CPU偏高。 这种攻击的特点是可以完全绕过普通的防火墙防护轻松找一些Proxy代理就可实施攻击缺点是对付只有静态页面的网站效果会大打折扣并且有些Proxy会暴露攻击者的IP地址 刚才我们讲了几种目前用得比较多的DDOS攻击方式那我们现在怎么来防御DDOS攻击呢 对付DDOS是一个系统工程想仅仅依靠某种系统或产品防住DDOS是不现实的可以肯定的是完全杜绝DDOS目前是不可能的。但通过适当的措施抵御 90%的DDOS攻击是可以做到的基于攻击和防御都有成本开销的缘故若通过适当的办法增强了抵御DDOS的能力也就意味着加大了攻击者的攻击成本 那么绝大多数攻击者将无法继续下去而放弃也就相当于成功的抵御了DDOS攻击。 第一种方式就是采用高性能的网络设备 首先要保证网络设备不能成为瓶颈因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系 或协议的话就更好了当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 第二种方式是充足的网络带宽 网络带宽直接决定了能抗受攻击的能力假若仅仅有10M带宽的话无论采取什么措施都很难对抗现在的SYNFlood攻击。当前至少要选择100M的共享 带宽最好的当然是挂在1000M的主干上了但需要注意的是主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的若把它接在100M的交换 机上它的实际带宽不会超过100M再就是接在100M的带宽上也不等于就有了百兆的带宽因为网络服务商很可能会在交换机上限制实际带宽为10M这 点一定要搞清楚。 第三种方式就是安装专业的抗DDOS防火墙 比如冰盾专业抗DDOS防火墙。冰盾防火墙来自IT技术世界一流的美国硅谷由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为防火墙采用微内核技术实现工作在系统的最底层充分发挥 CPU的效能仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明在抗DDOS攻击方面工作于100M网卡冰盾约可抵御每秒25万个 SYN包攻击工作于1000M网卡冰盾约可抵御160万个SYN攻击包在防黑客入侵方面冰盾可智能识别Port扫描、Unicode恶意编码、 SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。转载于:https://www.cnblogs.com/tonykan/p/3438558.html
