分布式拒绝服务攻击(DDoS)原理及防范

分布式拒绝服务攻击(DDoS)原理及防范


来源:网络  作者:佚名

  一、原理描述
  DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等各项性能指标不高时,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了。目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。

  这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
  高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。

  被DDoS攻击时的现象
  a.被攻击主机上有大量等待的TCP连接
  b.网络中充斥着大量的无用的数据包,源地址为假
  c.制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
  d.利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
  e.严重时会造成系统死机

  二、DDoS的防范

  1、主机上的设置
  几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:
  a. 关闭不必要的服务
  b. 限制同时打开的Syn半连接数目
  c. 缩短Syn半连接的time out 时间
  d. 及时更新系统补丁

  2、网络设备上的设置
  企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。

  a. 禁止对主机的非开放服务的访问
  b. 限制同时打开的SYN最大连接数
  c. 限制特定IP地址的访问
  d. 启用防火墙的防DDoS的属性  
  e. 严格限制对外开放的服务器的向外访问

  3、使用专业DDOS防御设备(万网使用的是绿盟黑洞系统)
  黑洞目前分百兆、千兆两款产品,分别可以在相应网络环境下实现对高强度攻击的有效防护,性能远远超过同类防护产品。其使用多种算法识别攻击和正常流量,能在高攻击流量环境下保证95%以上的连接保持率和95%以上的新连接发起成功率。
  黑洞主要作用:
  a. 能够对SYN Flood、UDP Flood、ICMP Flood、HTTP GET Flood和(M)Stream Flood等各类DoS攻击进行防护。
  b. 可以有效防止连接耗尽,主动清除服务器上的残余连接,提高网络服务的品质;可以抑制网络蠕虫的扩散。
  c. 可以防护DNS Query Flood,保护DNS服务器正常运行。
  d. 可以给各种端口扫描软件反馈迷惑性信息,因此也可以对其它类型的攻击起到防护作用。


·上一篇文章:微软紧急安全通告
·下一篇文章:紧急安全漏洞公告(Windows GDI32.DLL WMF 渲染引擎代码执行漏洞)


转载请注明转载网址:
http://www.jmkt.cn/html/netaq/121620451.htm