、为何要DDoS?随着Internet互联网络带宽
增加和多种DDoS黑客工具不断发布
DDoS拒绝服务攻击实施越来越容易DDoS攻击事件正在成上升趋势
出于商业竞争、打击报复和网络敲诈等多种原因导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来直被DDoS攻击所困扰随的而来是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等系列问题因此解决DDoS攻击问题成为网络服务商必须考虑头等大事2、什么是DDoS?
DDoS是英文Distributed Denial of Service
缩写意即“分布式拒绝服务”那么什么又是拒绝服务(Denial of Service)呢?可以这么理解凡是能导致合法用户不能够访问正常网络服务行为都算是拒绝服务攻击也就是说拒绝服务攻击目非常明确就是要阻止合法用户对正常网络资源访问从而达成攻击者不可告人目虽然同样是拒绝服务攻击但是DDoS和DOS还是有所区别DDoS攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用主机)向受害主机发送大量看似合法网络包从而造成网络阻塞或服务器资源耗尽而导致拒绝服务分布式拒绝服务攻击旦被实施攻击网络包就会犹如洪水般涌向受害主机从而把合法用户网络包淹没导致合法用户无法正常访问服务器网络资源因此拒绝服务攻击又被称的为“洪水式攻击”常见DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常网络服务功能从而造成拒绝服务常见DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等就这两种拒绝服务攻击而言危害较大主要是DDoS攻击原因是很难防范至于DOS攻击通过给主机服务器打补丁或安装防火墙软件Software就可以很好地防范后文会详细介绍如何对付DDoS攻击3、被DDoS了吗?
DDoS
表现形式主要有两种种为流量攻击主要是针对网络带宽攻击即大量攻击包导致网络带宽被阻塞合法网络包被虚假攻击包淹没而无法到达主机;另种为资源耗尽攻击主要是针对服务器主机攻击即通过大量攻击包导致主机内存被耗尽或CPU被内核及应用
占完而造成无法提供网络服务如何判断网站WebSite是否遭受了流量攻击呢?可通过Ping命令来测试
若发现Ping超时或丢包严重(假定平时是正常)则可能遭受了流量攻击此时若发现和你主机接在同交换机上服务器也访问不了了基本可以确定是遭受了流量攻击当然这样测试前提是你到服务器主机的间ICMP协议没有被路由器和防火墙等设备屏蔽否则可采取Telnet主机服务器网络服务端口来测试效果是样不过有点可以肯定假如平时Ping你主机服务器和接在同交换机上主机服务器都是正常突然都Ping不通了或者是严重丢包那么假如可以排除网络故障原因话则肯定是遭受了流量攻击再个流量攻击典型现象是旦遭受流量攻击会发现用远程终端连接网站WebSite服务器会失败相对于流量攻击而言
资源耗尽攻击要容易判断些假如平时Ping网站WebSite主机和访问网站WebSite都是正常发现突然网站WebSite访问非常缓慢或无法访问了而Ping还可以Ping通则很可能遭受了资源耗尽攻击此时若在服务器上用Netstat -na命令观察到有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在而ESTABLISHED很少则可判定肯定是遭受了资源耗尽攻击还有种属于资源耗尽攻击现象是Ping自己网站WebSite主机Ping不通或者是丢包严重而Ping和自己主机在同交换机上服务器则正常造成这种原因是网站WebSite主机遭受攻击后导致系统内核或某些应用CPU利用率达到100%无法回应Ping命令其实带宽还是有否则就Ping不通接在同交换机上主机了当前主要有 3种流行
DDoS攻击:1、SYN/ACK Flood攻击:这种攻击思路方法是经典最有效
DDoS思路方法可通杀各种系统网络服务主要是通过向受害主机发送大量伪造源IP和源端口SYN或ACK包导致主机缓存Cache资源被耗尽或忙于发送回应包而造成拒绝服务由于源都是伪造故追踪起来比较困难缺点是实施起来有定难度需要高带宽僵尸主机支持少量这种攻击会导致主机服务器无法访问但却可以Ping通在服务器上用Netstat -na命令会观察到存在大量SYN_RECEIVED状态大量这种攻击会导致Ping失败、TCP/IP栈失效并会出现系统凝固现象即不响应键盘和鼠标普通防火墙大多无法抵御此种攻击2、TCP全连接攻击:这种攻击是为了绕过常规防火墙
检查而设计般情况下常规防火墙大多具备过滤TearDrop、Land等DOS攻击能力但对于正常TCP连接是放过殊不知很多网络服务(如:IIS、Apache等Web服务器)能接受TCP连接数是有限旦有大量TCP连接即便是正常也会导致网站WebSite访问非常缓慢甚至无法访问TCP全连接攻击就是通过许多僵尸主机不断地和受害服务器建立大量TCP连接直到服务器内存等资源被耗尽而被拖跨从而造成拒绝服务这种攻击特点是可绕过般防火墙防护而达到攻击目缺点是需要找很多僵尸主机并且由于僵尸主机IP是暴露因此容易被追踪3、刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本
并
MSSQLServer、MySQLServer、Oracle等数据库网站WebSite系统而设计特征是和服务器建立正常TCP连接并不断向脚本提交查询、列表等大量耗费数据库资源典型以小博大攻击思路方法般来说提交个GET或POST指令对客户端耗费和带宽占用是几乎可以忽略而服务器为处理此请求却可能要从上万条记录中去查出某个记录这种处理过程对资源耗费是很大常见数据库服务器很少能支持数百个查询指令同时执行而这对于客户端来说却是轻而易举因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令只需数分钟就会把服务器资源消耗掉而导致拒绝服务常见现象就是网站WebSite慢如蜗牛、ASP失效、PHP连接数据库失败、数据库主占用CPU偏高这种攻击特点是可以完全绕过普通防火墙防护轻松找些Proxy代理就可实施攻击缺点是对付只有静态页面网站WebSite效果会大打折扣并且有些Proxy会暴露攻击者IP地址4、如何抵御DDoS?
对付DDoS是
个系统工程想仅仅依靠某种系统或产品防住DDoS是不现实可以肯定是完全杜绝DDoS目前是不可能但通过适当措施抵御90%DDoS攻击是可以做到基于攻击和防御都有成本开销缘故若通过适当办法增强了抵御DDoS能力也就意味着加大了攻击者攻击成本那么绝大多数攻击者将无法继续下去而放弃也就相当于成功抵御了DDoS攻击以下为笔者多年以来抵御DDoS经验和建议和大家分享!1、采用高性能
网络设备首先要保证网络设备不能成为瓶颈
因此选择路由器、交换机、硬件防火墙等设备时候要尽量选用知名度高、口碑好产品再就是假如和网络提供商有特殊关系或协议话就更好了当大量攻击发生时候请他们在网络接点处做下流量限制来对抗某些种类DDoS攻击是非常有效2、尽量避免NAT
使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT
使用
采用此技术会较大降低网络通信能力其实原因很简单NAT需要对地址来回转换转换过程中需要对网络包校验和进行计算因此浪费了很多CPU时间但有些时候必须使用NAT那就没有好办法了3、充足
网络带宽保证网络带宽直接决定了能抗受攻击
能力假若仅仅有10M带宽话无论采取什么措施都很难对抗现在SYNFlood攻击当前至少要选择100M共享带宽最好当然是挂在1000M主干上了但需要注意是主机上网卡是1000M并不意味着它网络带宽就是千兆若把它接在100M交换机上它实际带宽不会超过100M再就是接在100M带宽上也不等于就有了百兆带宽网络服务商很可能会在交换机上限制实际带宽为10M这点定要搞清楚4、升级主机服务器硬件
在有网络带宽保证
前提下请尽量提升硬件配置要有效对抗每秒10万个SYN攻击包服务器配置至少应该为:P4 2.4G/DDR512M/SCSI-HD起关键作用主要是CPU和内存若有志强双CPU话就用它吧内存定要选择DDR高速内存硬盘要尽量选择SCSI别只贪IDE价格不贵量还足便宜否则会付出高昂性能代价再就是网卡定要选用3COM或Intel等名牌若是Realtek还是用在自己PC上吧5、把网站WebSite做成静态页面
大量事实证明
把网站WebSite尽可能做成静态页面不仅能大大提高抗攻击能力而且还给黑客入侵带来不少麻烦至少到现在为止有关HTML溢出还没出现看看吧!新浪、搜狐、网易等门户网站WebSite主要都是静态页面若你非需要动态脚本那就把它弄到另外台单独主机去免遭受攻击时连累主服务器当然适当放些不做数据库脚本还是可以此外最好在需要数据库脚本中拒绝使用代理访问经验表明使用代理访问你网站WebSite80%属于恶意行为6、增强操作系统
TCP/IP栈Win2000和Win2003作为服务器操作系统
本身就具备定抵抗DDoS攻击能力只是默认状态下没有开启而已若开启话可抵挡约10000个SYN攻击包若没有开启则仅能抵御数百个具体如何开启自己去看微软文章吧!guidance/secmod109.mspx
也许有
人会问那我用是Linux和FreeBSD如何办?很简单按照这篇文章去做吧!7、安装专业抗DDoS防火墙
比如使用冰盾专业抗DDOS防火墙8、其他防御措施
以上
7条对抗DDoS建议适合绝大多数拥有自己主机用户但假如采取以上措施后仍然不能解决DDoS问题就有些麻烦了可能需要更多投资增加服务器数量并采用DNS轮巡或负载均衡技术甚至需要购买 7层交换机设备从而使得抗DDoS攻击能力成倍提高只要投资足够深入总有攻击者会放弃时候那时候你就成功了!
最新评论