DDoS网络攻击的监测与防御
当你发现你的网站不能正常访问时,服务器不能远程连接。数据中心机房是告诉你的服务器的流量是非常大的,所以你需要准备好。它可能已经盯着企业在自己的服务器上,如大企业网站、游戏等,当你获得一定的利润,这些黑客也可能想从你得到一个保护费;也许你的服务器的DoS / DDoS攻击。让我们了解DOS和DDOS相关知识。
dos/DDoS的介绍
1。什么是拒绝服务攻击(DoS)
dos是拒绝服务的缩写,也就是拒绝服务。它导致DoS攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击是计算机网络的带宽攻击和连通性攻击。带宽的攻击手段和巨大的交通量的影响网络,使所有可用的网络资源消耗,最后,合法用户的请求无法通过。连通性攻击是指大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗,所以电脑可以不再处理合法用户的请求。
2。什么是分布式拒绝服务攻击(DDoS)
分布式拒绝服务攻击(分布式拒绝服务DDoS攻击:)指的是客户端/服务器技术的帮助下,多个傀儡机联合起来作为攻击平台(傀儡机,黑客一般控制肉鸡;;DOS),对一个或多个目标发动攻击,从而成倍增加的攻击力否定。通常,攻击者入侵服务器,服务器必须在未来得到许可,DDoS攻击将主控制程序安装在这台服务器上,在设定的时间主控程序与大量的Agent通信,代理被安装在许多服务器控制的黑客(包括大量的个人电脑以其他方式取得),代理开始攻击时,接收使用客户机/服务器技术,主控制程序可以在几秒钟内激活数百次代理。
以上:
在傀儡机,黑客机器控制(或他自己的计算机安全的原因),他通常会选择一个傀儡机来控制其他傀儡机,然后用这个傀儡机命令的傀儡机其余的攻击目标服务器。当然,这只是一个简单的图,也可以使用以上更复杂:十台湾、二十台湾傀儡机控制在黑客的手中,然后由十台湾,台中二十个傀儡机控制数千,数千或甚至数百成千上万的傀儡机对目标发起毁灭性的攻击。
一个形象和一个不太恰当的比喻:两个人打架,其中一人无法应付对方。所以他打电话给他的朋友很多,一个人无法应付这么多人。
拒绝服务是一种攻击手段,它利用大量的数据包,超过了攻击对象的处理能力,使现有的系统和带宽资源消耗掉,使正常的网络服务瘫痪,拒绝服务攻击采用单对一攻击。当CPU处理速度低、内存小、网络带宽小时,拒绝服务攻击的效果非常明显。
然而,随着互联网技术和硬件技术的飞速发展,带宽很快,千兆位计算单元,大部分CPU是双核或四核,内存现在也可以说白菜的价格,在这种环境下,拒绝服务攻击的难度增加了。
在这种方式中,分布式拒绝服务(DDoS)攻击出现。如果你理解了拒绝服务(DoS)攻击,在此基础上,一个分布式拒绝服务攻击是不难理解的。如果计算机和网络攻击的处理能力增加10倍,攻击不再是一个傀儡机的情况下,使用10个傀儡机同时攻击100攻击。DDoS攻击是利用更多的傀儡机器进行攻击,比以往更大规模地攻击受害者。
二、DoS攻击
那么,服务器受到dos/DDOS攻击的现象是什么呢
1。受攻击主机上有大量等待TCP连接。
2,网络中充满了大量无用的数据包,源地址是一个虚假地址或可能的地址在专用网络中。
3,制造高流量的无用数据,造成网络拥塞,使受伤的主机无法与外界沟通。
4,利用受损主机提供的服务或传输协议中的缺陷,反复、详细地发出具体的服务请求,使受伤的主机不能及时处理所有正常的请求。
5、严重时可使系统运行缓慢或暂停,甚至死机;
三,DoS / DDoS攻击的类型:
1、synflood攻击:由多个随机的源主机到目的主机地址的攻击发送SYN包,不回应,这样在收到目的主机的SYN ACK,为主机建立大量的连接队列的源、目的主机,但是由于没有ACK一直保持队列收到,导致大量消耗资源不能正常的请求。
2、精灵:攻击发送特定请求的数据包(如ICMP回应请求)的子网广播地址,和伪装的源地址作为主机地址的攻击。在子网的所有主机应对攻击的主机响应广播包请求使主机的攻击。
3、地面:攻击者将一个包的源地址和目标地址都设置为目标主机的地址,然后通过IP数据包的攻击欺骗被发送到主机,这个包可以通过攻击主机建立连接和死循环和自身造成的,这大大降低了系统的性能。
4、平死:根据TCP / IP的规范,一个数据包的最大长度是65536字节。尽管一个包的长度不能超过65536字节,多个片段分包的叠加可以做。当主机收到了长度大于65536字节包,是受死亡攻击平,攻击会造成主机的停机时间。
5、当泪水:IP数据包通过网络,数据包可以分成更小的片段。攻击者可以通过发送两实施泪滴攻击(或更多)的数据包,第一个包的偏移量为0,长度为N,和第二包的偏移量是不足的,合并这些数据段,TCP / IP协议栈分配巨大的资源,造成系统资源的缺乏甚至机器的重新启动。
6、PingSweep:多个主机轮询使用ICMP回声。
7、Pingflood:这种攻击,发送大量的ping数据包到目的主机在很短的时间,引起网络拥塞或主机资源枯竭。
四。如何防范DoS / DDoS攻击
当您登录到服务器的一天,你觉得服务器正在运行缓慢,甚至远程。数据中心的计算机人员告诉您服务器的流量非常大。此时,您必须分析它是否是一个DoS攻击。
上面的理论对很多事情来说,你可能没有消化的。
这里有一个简单且易于理解的命令来确定服务器是否受到DoS攻击的攻击:
netstat–在命令提示符下;一个,检查当前服务器的所有连接到外部,如果发现大量的syn_received,time_wait的存在,fin_wait_1和建立,几可判断肯定是遭受了资源耗尽攻击。
如果您的服务器托管在一个数据中心房间的更多条件,同时,该公司也有反DoS / DDoS攻击,但据我所知,目前可用的反DoS / DDoS攻击设备大多数数据中心室是不自由使用。
具体来说,在这里没有详细说明如何获得反DoS / DDoS攻击设备。它可以是数据中心机房的设备,也可以是它自己购买的条件单元或设备。
这种方法只能抵抗攻击的一小部分,因为有多种类型的DoS / DDoS攻击,加上新的变种攻击。
When the anti DoS/DDoS attack equipment you can not identify those new DoS/DDoS attacks, or because the attack strength is too big, anti DoS/DdoS attack equipment itself has been unable to influence, or even attack bandwidth has far exceeded the total bandwidth of the data center room for export, this time to install what anti attack equipment are incapable of action.
相信您理解了DoS / DDoS攻击的真正含义,您应该理解该语句的含义。
在这个时候,你必须让数据中心机房通知上级ISP运营商和暂时过滤掉你的服务器的IP地址对其优越的路线,你需要实时与数据中心机房联系,这样他们可以在ISP运营商的最新消息,以便第一时间你将服务器的IP地址予以解封。
最后,给你一些好的建议:
1。使用高性能网络设备
首先,我们必须确保网络设备不能成为瓶颈。因此,在选择路由器、交换机、硬件、墙壁等设备时,应尽量选择信誉度高、信誉好的产品,也就是说,如果与网络提供商有特殊的关系或协议,那就更好了。当很多攻击发生时,请他们在网络联络点做流量限制,以对付一些DDoS攻击,这是非常有效的。
2,尽可能避免使用NAT。
无论是路由器或硬件设备避免使用网络地址转换NAT防护墙的使用,因为这项技术的使用将大大减少事实上的网络通信能力,原因很简单,因为NAT需要解决来回计算和检查网络数据包的转换过程,浪费了大量的时间在CPU。但有时你必须使用NAT,没有好的方法。
3、保证网络带宽充足
网络带宽直接决定抵抗攻击的能力。如果只有10M带宽是可用的,不论采取何种措施,很难抵御当前SynFlood攻击。目前,应该选择至少100M的共享带宽。最好是挂在千兆主干。但需要注意的是,主机卡千米并不意味着它是千兆的网络带宽,如果它是连接到百兆交换机,实际带宽不超过100m,并连接到100M带宽不等于已经在交换网络服务提供商的带宽兆可能限制10M的实际带宽,它必须是明确的。
4。升级主机服务器硬件
在保证网络带宽的前提下,请尝试升级硬件配置,对每秒SYN包10万是有效的,服务器的配置至少应该:P4 2.4g / / scsi-hd ddr512m,起关键作用的主要是CPU和内存,如果有一个双CPU的支强然后使用它,高速存储器必须选择DDR硬盘,尽量选择SCSI,IDE不仅价格不贵但也足够便宜,否则会付出很高的性价比,然后卡必须使用3Com的或英特尔的品牌,如果Realtek或自己的电脑。
5。使网站成为静态页面
事实上,站点尽可能地做一个静态页面,不仅可以大大提高反攻击的能力,而且还给黑客带来很多麻烦,至少到目前为止关于HTML溢出还没有出现,请参见!Sina,搜狐,网易等各大门户网站都是静态页面,如果你需要一个非动态脚本调用它来得到一个单一的主机,免费的攻击。主服务器,当然,除了做一些适当的数据库脚本还可以,最好的,拒绝使用代理访问需要调用数据库脚本,因为经验表明,使用代理访问您的站点80%属于恶意行为。
基于以上五点,也建议服务器管理员朋友,经常检查你管理的服务器状态,不要让自己成为黑客使用的管理服务器去攻击其他傀儡机,对自己不好,对别人不好。