如何防范ddos攻击(DDoS攻防分析)
如今,信息技术的发展给人们带来了很多便利,无论是个人的社交活动还是商务活动都离不开互联网。然而,互联网空带来了机遇,也带来了威胁,其中DDoS是最具破坏性的攻击。随着这些年的不断发展,它已经成为不同组织和个人的攻击,用于网络中的敲诈勒索、报复甚至网络战。
文章目录
首先说说DDoS的概念和发展。
1.什么是“拒绝服务”攻击?
2.你说的“分布式”是什么?
3.它叫什么“僵尸网络”?
4.DDoS的发展如何?
其次,我们来说说DDoS攻击方法。
第三,也说说DDoS攻击工具。
1、LOIC
2、浩克(HTTP不可承受之重王)
3、乌拉圭回合谈判
第四,DDoS的最后一道防线
1.设置高性能设备
2.带宽保证
3.别忘了升级。
4.异常流量的清洗
5.考虑把网站做成静态页面。
6.分布式集群防御
先说DDoS的概念和发展。
在我们谈论开发之前,我们必须对DDoS的基本概念有一个大致的了解。
什么是“拒绝服务”攻击?
其实可以简单理解为:让一个开放的网站无法访问。达到这个目的的方式也很简单:不断提出服务需求,让合法用户的需求得不到及时处理。
什么是“分布式”?
事实上,随着网络的发展,很多大企业都有很强的服务供给能力,所以对个别需求的敷衍攻击已经不是问题。道高一尺魔高一丈,于是攻击者组织众多同伙,同时要求服务,直到服务无法访问,这就是所谓的“分布式”。但现实中,普通攻击者无法组织本地伙伴一起“战斗”,所以会利用“僵尸网络”掌握N台电脑进行攻击。
什么是“僵尸网络”?
它是一个大规模的网络,其中大量的bot使用一对多的方法,通过一定的方法组合来掌握恶意目标。也可以说是复合攻击方式。因为僵尸主机数量多,分布广,伤害程度和防御难度都很大。
僵尸网络的可控性很强,主控可以在宣布指令后断开与僵尸网络的连接,主控指令会在僵尸网络间主动循环执行。
单击重新加载。
这就像一个生态系统。对于安全研究人员来说,捕捉一个节点就可以发明出很多僵尸网络主机,但很难看到全貌,而且即使屏蔽了部分僵尸网络主机,也不会影响所有僵尸网络的生存。
DDoS的发展如何?
俗话说“以史为鉴,可以得知兴亡”。既然知道了DDoS,那就说说它的历史发展吧。
最早的时候,黑客多以个人技术自吹自擂,所以攻击目的的选择很随意,很有娱乐性。后来,一些宗教组织和商业组织发明了这种攻击的后果,针对勒索、报复等方法,攻击特定目的,开发一些相应的工具,保证攻击成本降低。当国家政权意识到这一价值后,DDoS开始武器化,很容易被用于目的准确的网络战中。
单击重新加载。
DDoS情况分析
根据吕蒙科技最新的DDoS情况分析,从全球流量分布来看,中国和美国是DDoS的重灾区。
再谈DDoS攻击方法
分布式拒绝服务攻击的本质是:应用分布式客户端,向目的地发起大量看似合法的请求,消耗或占用大量资源,从而达到拒绝服务的目的。
有四种重要的攻击方法:
1.攻击带宽
就像帝都的堵车一样,大家都要意识到,当网络包数达到或超过上限时,就会出现网络拥塞,响应缓慢的情况。DDoS就是应用这个原理,发送大量的网络数据包,占用被攻击目标的所有带宽,从而造成正常需求的失败,达到拒绝服务的目的。
攻击者可以利用ICMP flood攻击(即发送大量ICMP相干消息)或UDP flood攻击(即发送用户数据报协议的大包或小包)通过编造源IP地址进行隐藏,会造成网络拥塞,服务器响应缓慢。
但是这种直接的方法通常依赖于被控主机本身的网络性能,所以后果不是很好,而且很容易找到攻击的源头。因此,反射攻击应运而生。攻击者应用特殊的数据包,即IP地址指向作为反射者的服务器,源IP地址被捏成攻击目的的IP,反射者在吸收数据包时被欺骗,会向被攻击的目的地发送响应数据,然后会耗尽目的地网络的带宽资源。
2.攻击系统
创建TCP连接需要客户端和服务器之间的三次交互,在技术资源网也称为“三次握手”。这些信息通常保存在连接表的构造中,但该表的大小是有限的,因此当超过存储容量时,服务器无法创建新的TCP连接。
攻击者利用这一点,与受控主机建立大量恶意TCP连接,占用被攻击目的的连接表,使其无法接收新的TCP连接请求。如果攻击者发送大量TCP SYN消息,短时间内造成服务器上大量半开连接,连接表会很快被填满,导致无法建立新的TCP连接。这种方法就是SYN flood攻击,对于很多攻击者来说是相当常见的。
单击重新加载。
3.攻击和应用
由于DNS和Web服务的普遍性和重要性,这两种服务成为消耗和使用资源的分布式拒绝服务攻击的重要目的。
比如向DNS服务器发送大量查询请求,就可以达到拒绝服务的结果。如果每个DNS解析请求查询的域名不同,可以有效避免服务器缓存的解析记录,获得更好的资源消耗结果。当DNS服务的可用性受到威胁时,互联网上的大量设备都会受到影响,无法正常使用。
近年来,Web技术发展非常迅速。如果攻击者利用大量受控主机向Web服务器恶意发送大量HTTP请求,要求Web服务器进行处理,那么服务器资源将被完全占用,正常用户的Web访问请求得不到处理,从而导致拒绝服务。Web服务一旦受到这种攻击,就会对其承载的业务产生致命的影响。
4.混合攻击
在现实生活中,好概念记者并不关心他应用的哪种攻击方法有效。只要能到达目标,他通常会调动自己所有的攻击技能,尽力发动攻势。对于被攻击的目标来说,需要面对不同协议和资源的分布式拒绝服务攻击,分析、响应和处置的成本会大大增加。
随着僵尸网络小型化的趋势,为了降低攻击成本,有效隐蔽攻击源,避开安全设备,保证攻击后果,面向应用层的小流量慢速攻击逐渐发展壮大。所以从另一个角度来看,DDoS攻击目前重要的有两个方面:大流量的UDP和反射式高速攻击,多协议小流量慢速攻击。
还要说说DDoS攻击工具。
中国人比较讲究:工欲善其事,必先利其器。随着开源DDoS工具的发展,网络攻击变得越来越容易,威胁也越来越大。工具很多,简单介绍几个比较有名的,让大家有个大概的了解。
姓名
LOIC LEO离子炮是DOS攻击最流行的吞没工具之一,它会产生大量的流量,可以运行在很多平台上,包括Linux、Windows、Mac OS、Android等。早在2010年,在黑客组织针对反对维基解密的公司和机构的攻击活动中,该工具被下载了3万多次。
LOIC界面友好易用,初学者可以快速上手。但是技术资源网要给这个工具申请真实的IP地址,现在匿名已经不使用了。
浩克(HTTP不可承受之重王)
单击重新加载。
浩克是另一个DOS攻击工具。该工具使用伪造的用户代理来避免攻击检测。它可以通过启动500个线程来发起高频率的HTTP GET FLOOD请求。厉害的是每个请求都是独立的,可以绕过服务器端的缓存方式,让所有请求都得到处理。HULK是用Python语言写的,修改源代码非常方便。
卢迪大学
R-U-Dead-Yet是一个通过慢速HTTP POST进行DOS攻击的工具。它提供一个交互式控制台菜单,检测给定的URL,并允许用户选择在基于POST的DOS攻击中使用哪些表单和字段。操作非常简单。
而且也是用Python语言写的,移植性很强。R.U.D.Y可以影响各种Web服务器软件,所以攻击威胁非常大。
这些工具在坚持攻击力的同时,也增强了易用性,而免费开源降低了应用门槛。随着攻防对抗的升级,工具会越来越智能。
最后一分钟DDoS防御
我的导师教导我:DDoS攻击只是一个手腕,最终目的是永恒的利益。未来网络战会有更常见的攻击,更频繁的攻击,更精确的攻击。我们应该如何应对这些攻击?
设置高性能设备
要保证网络设备不会成为瓶颈,在选择路由器、交换机、硬件防火墙等设备时,要尽量选择信誉度高、口碑好的产品。如果与网络提供商有特殊关系或协议就更好了。当大量攻击发生时,要求他们限制网络接点处的基数来抵御某些类型的DDoS攻击是非常有效的。
保证带宽
网络带宽直接决定了抵御攻击的能力。如果只有10M的带宽,无论采用什么方法都很难抵御目前的SYN Flood攻击。所以最好选择100M的共享带宽,当然是挂在1000M的主干上。
别忘了升级。
在保证网络带宽的前提下,请尽可能升级硬件配置,有效抵御每秒10万个SYN攻击包。而且最好是优化资源的应用,提高web服务器的负载能力。
异常流量的清洗
通过DDoS硬件防火墙对异常流量进行清理过滤,通过数据包规则过滤、数据流指纹检测过滤、数据包内容定制过滤等顶尖技术,准确判断来电流量是否正常,进一步拦截过滤异常流量。
考虑把网站做成静态页面。
让网站尽可能的静态化,既可以大大提高抗攻击能力,也给黑客带来了很多麻烦。最好在需要调用数据库的脚本中谢绝应用代理的访问。经验表明,80%的应用代理对你网站的访问都是恶意行为。
分布式集群防御
这是网络安全界大规模防御DDoS攻击最有效的方法。分布式集群防御的特点是每个节点服务器配置多个IP地址,每个节点可以承受不低于10G的DDoS攻击。如果一个节点受到攻击,无法提供服务,系统会根据优先级设置主动切换到另一个节点,将攻击者的数据包全部返回发送点,从更深层次的安全防护角度瘫痪攻击源,影响企业的安全决策。
就DDoS防御而言,目前有两个重要方面。大流量攻击可以交给运营商和云清洗,小流量攻击可以通过企业内的设备进行本地防护。这个分界点根据不同的行业和业务特点会有所不同,大概的量级应该在100 Mbps左右。相关缓解和治疗,感兴趣的童鞋可以看看包旭华的《伤害之王》技术资源网,会比较有启发。
