什么是DDoS,?DDoS是英文Distributed Denial of Service的縮寫,,意即“分布式拒絕服務(wù)”,那么什么又是拒絕服務(wù)(Denial of Service)呢,?可以這么理解,,凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確,,就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問,,從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實(shí)施,,攻擊網(wǎng)絡(luò)包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機(jī),,從而把合法用戶的網(wǎng)絡(luò)包淹沒,,導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源,因此,,拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”,,常見的DDOS攻擊手段有SYN Flood、ACK Flood,、UDP Flood,、ICMP Flood、TCP Flood,、Connections Flood,、Script Flood、Proxy Flood等,。
目前而言,,黑客甚至對攻擊進(jìn)行明碼標(biāo)價,打1G的流量到一個網(wǎng)站一小時,,只需50塊錢,。DDoS的成本如此之低,而且攻擊了也沒人管,。
關(guān)于DDos攻擊的常見方法1. SYN Flood:利用TCP協(xié)議的原理,,這種攻擊方法是經(jīng)典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),,主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包,,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。TCP通道在建立以前,,需要三次握手: a. 客戶端發(fā)送一個包含SYN標(biāo)志的TCP報文, 同步報文指明客戶端所需要的端口號和TCP連接的初始序列號
2. HTTP Flood:針對系統(tǒng)的每個Web頁面,,或者資源,,或者Rest API,用大量肉雞,,發(fā)送大量http request,。這種攻擊主要是針對存在ASP,、JSP、PHP,、CGI等腳本程序,,并調(diào)用MSSQLServer、MySQLServer,、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的,,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢,、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用,,典型的以小博大的攻擊方法。缺點(diǎn)是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣,。
3. 慢速攻擊:Http協(xié)議中規(guī)定,,HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個Http 1.1的連接,,將Connection設(shè)置為Keep-Alive,, 保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n,, 每隔幾分鐘寫入一些無意義的數(shù)據(jù)流,, 拖死機(jī)器。
4. P2P攻擊:每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個熱門事件,,比如XX門,, 精心制作一個種子, 里面包含正確的文件下載,, 同時也包括攻擊目標(biāo)服務(wù)器的IP,。這樣,當(dāng)很多人下載的時候,, 會無意中發(fā)起對目標(biāo)服務(wù)器的TCP連接,。
DDOS攻擊現(xiàn)象判定方法1.SYN類攻擊判斷:A.CPU占用很高;B.網(wǎng)絡(luò)連接狀態(tài):netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài),;C.網(wǎng)線插上后,,服務(wù)器立即凝固無法操作,拔出后有時可以恢復(fù),,有時候需要重新啟動機(jī)器才可恢復(fù),。
2.CC類攻擊判斷:A.網(wǎng)站出現(xiàn)service unavailable提示;B.CPU占用率很高,;C.網(wǎng)絡(luò)連接狀態(tài):netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達(dá)幾十條甚至上百條,;D.用戶無法訪問網(wǎng)站頁面或打開過程非常緩慢,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問。 3.UDP類攻擊判斷:A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包;B.網(wǎng)絡(luò)狀態(tài):netstat –na TCP信息正常,。 4.TCP洪水攻擊判斷:A.CPU占用很高,;B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個IP高達(dá)幾十條甚至上百條
DDoS攻擊防御方法1. 過濾不必要的服務(wù)和端口:可以使用Inexpress、Express,、Forwarding等工具來過濾不必要的服務(wù)和端口,,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較,,并加以過濾,。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略,。 2. 異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾,,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾,、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常,,進(jìn)一步將異常流量禁止過濾。單臺負(fù)載每秒可防御800-927萬個syn攻擊包,。 3. 分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法,。分布式集群防御的特點(diǎn)是在每個節(jié)點(diǎn)服務(wù)器配置多個IP地址(負(fù)載均衡),并且每個節(jié)點(diǎn)能承受不低于10G的DDOS攻擊,,如一個節(jié)點(diǎn)受攻擊無法提供服務(wù),,系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),,使攻擊源成為癱瘓狀態(tài),,從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。 4. 高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合,,為企業(yè)提供對抗新興安全威脅的超級檢測功能,。它顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器,。同時智能DNS解析系統(tǒng)還有宕機(jī)檢測功能,,隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP,為企業(yè)的網(wǎng)絡(luò)保持一個永不宕機(jī)的服務(wù)狀態(tài),。
DDoS攻擊的網(wǎng)絡(luò)流量清洗 當(dāng)發(fā)生DDOS攻擊時,網(wǎng)絡(luò)監(jiān)控系統(tǒng)會偵測到網(wǎng)絡(luò)流量的異常變化并發(fā)出報警,。在系統(tǒng)自動檢測或人工判斷之后,,可以識別出被攻擊的虛擬機(jī)公網(wǎng)IP地址。這時,,可調(diào)用系統(tǒng)的防DDOS攻擊功能接口,,啟動對相關(guān)被攻擊IP的流量清洗。流量清洗設(shè)備會立即接管對該IP地址的所有數(shù)據(jù)包,并將攻擊數(shù)據(jù)包清洗掉,,僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡(luò)設(shè)備,。這樣,就能保證整個網(wǎng)絡(luò)正常的流量通行,,而將DDOS流量拒之門外,。 采用云DDoS清洗方式,可以為企業(yè)用戶帶來諸多好處,。其表現(xiàn)在不僅可以提升綜合防護(hù)能力,,用戶能夠按需付費(fèi),可彈性擴(kuò)展,,而且還能夠基于大數(shù)據(jù)來分析預(yù)測攻擊,,同時能夠免費(fèi)升級。對于企業(yè)用戶來說,,則可實(shí)現(xiàn)零運(yùn)維,、零改造。 以上內(nèi)容來源于:公眾號: EMLab攻防實(shí)驗(yàn)室 本文作者:SoChishun |
|
|
來自: 文檔客 > 《網(wǎng)站安全》
