dos攻击的防范
DoS攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DoS的工具一点不难,黑客群居的网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet上获得这些工具,像以上提到的这些DoS攻击软件都是可以从网上随意找到的公开软件。所以任何一个上网者都可能构成网络安全的潜在威胁。DoS攻击给飞速发展的互联网络安全带来重大的威胁。
要避免系统免受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员应当定期查看安全设备的日志,及时发现对系统的安全威胁行为。
Internet支持工具就是其中的主要解决方案之一,包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作为安全网关设备的3ComSuperStack3防火墙在缺省预配置下可探测和防止“拒绝服务”(DoS)以及“分布式拒绝服务”(DDoS)等黑客侵袭,强有力的保护您的网络,使您免遭未经授权访问和其他来自Internet的外部威胁和侵袭;而且3ComSuperStack3ServerLoadBalancer在为多服务器提供硬件线速的4-7层负载均衡的同时,还能保护所有服务器免受“拒绝服务”(DoS)攻击;同样3ComSuperStack3WebCache在为企业提供高效的本地缓存的同时,也能保证自身免受“拒绝服务”(DoS)攻击。
常见攻击与防范 原理:攻击时,攻击者巧妙的利用了反弹服务器群来将洪水数据包反弹给目标主机 反弹服务是指某些服务器在收到一个请求数据报后就会产生一个回应数据报。所有的 Web 服务器、DNS 服务器及路 由器都是反弹服务器,他们会对 SYN 报文或其他 TCP 报文回应 SYNACKs 或 RST 报文, 以及对一些 IP 报文回应 ICMP 数据报超时或目的地不可达消息的数据 报。任何用于普通目的 TCP 连 接许可的网络服务器都可以用做数据包反射服务器
配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击
Smurf
·确定你是否成为了攻击平台:对不是来自于你的内部网络的信息包进行监控;监控大容量的回音请求和回音应答信息包。
·避免被当做一个攻击平台:在所有路由器上禁止IP广播功能;将不是来自于内部网络的信息包过滤掉。
·减轻攻击的危害:在边界路由器对回音应答信息包进行过滤,并丢弃;对于Cisco路由器,使用CAR来规定回音应答信息包可以使用的带宽最大值。
trinoo
·确定你是否成为攻击平台:在master程序和代理程序之间的通讯都是使用UDP协议,因此对使用UDP协议(类别17)进行过滤;攻击者用TCP端口27655与master程序连接,因此对使用TCP(类别6)端口27655连接的流进行过滤;master与代理之间的通讯必须要包含字符串“l44”,并被引导到代理的UDP端口27444,因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。
·避免被用作攻击平台:将不是来自于你的内部网络的信息包过滤掉。
·减轻攻击的危害:从理论上说,可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤,并丢弃它们。
TFN
·确定你是否成为攻击平台:对不是来自于内部网络的信息包进行监控。
·避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。
Stacheldraht
·确定你是否成为攻击平台:对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤;对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。
·手工防护
一般而言手工方式防护DDOS主要通过两种形式:
系统优化――主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。
网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。 防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDOS攻击的防护,在某些情况下,防火墙甚至成为DDOS攻击的目标而导致整个网络的拒绝服务。
首先是防火墙缺乏DDOS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet服务的设备提供了通路,如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDOS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDOS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。最好防火墙的部署位置也影响了其防护DDOS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDOS攻击的目标,攻击者一旦发起DDOS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。
网站如何防御DDOS攻击?
首先你需要了解下dos和DDOS攻击:
DoS:是Denial of Service的简称,即拒绝服务,不是DOS操作系统,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
DDOS:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
如果这个其实相对比较厉害的是DDOS攻击,目前基本的防御手段为主,如IP+MAC绑定,内网ARP防御等,其实这只是占用满服务器的会话数,并不是真正中断你的网络;当服务器超过最大会话数时,服务器没有足够的资源响应你正常的访问,表现就为无响应或你描述的网络中断,建议先中断服务器网络连接,处理好内网中的僵尸主机或控制好网络边界的防御后在将服务器接入网络中,现在很多交换机,路由器防火墙都带DOS攻击防御能力的;
DDOS如何防御?
分类: 电脑/网络 互联网
问题描述:
我的机房经常会死机或掉线,他们说是受到了DDOS攻击,请问他的详细攻击资料以及该如何防御呢?
解析:
对于DDOS攻击的详细分解
⒈TCP的工作原理
对于TCP的工作原理,最著名莫过于TCP的三次握手。图示,客户端A发送连接的请求数据报文,标识为SYN,并设定一个初始值得Seq=X,若服务器B答应连接,则返回相应数据报文确认为Ack=X+1,并同时发送逆向连接请求Y。A答应逆向连接返回确认Ack=y+1。
发送SYN,Seq=X
发送SYN,Seq=Y
ACK,Ack=X+1
发送ACK,Ack=Y+1
连接成功!
⒉SYN_FLOOD及ACK_FLOOD攻击
DDoS,也就是分布式拒绝服务攻击的缩写(Distributed denial of service )。
简单的说,拒绝服务就是用超出被攻击目标处理能力x的海量数据包消耗可用系统,带宽资源, 致使目标网络服务瘫痪的一种攻击手段。而分布拒绝服务攻击,就是发起攻击的源地址是分布的,而不是单一的或有规律的。
发送SYN
发送SYN
和ACK对方SYN
不发送ACK包对A确认
并继续发送SYN
不断循环
攻击成功!
简要分析:主机A在短时间内大量的发送该SYN请求连接包,服务器B会大量开辟空间以准备一个又一个的新连接,而A却不发送与服务器B第三次握手的确认数据包。导致B空间无法释放,最终B因为空间耗尽而无法响应其他合法主机的正常连接而导致“拒绝服务”。
在这个过程中,A还可以将发送给B的SYN请求连接包的源地址不断的更改,导致攻击难以追查,并且A还可以控制很多其他的“肉机”D,C等等同时发动攻击,加大攻击力度和攻击效果。
⒊CC攻击
对于大多数的WEB服务器和游戏服务器而言,CC攻击恐怕是最具危险性的了。他的具体工作过程如下图:
同时发送页面请求 对C发送页
面请求
攻击成功 !
简要分析:在CC攻击中,对于A而言,获取大量的代理服务器并非难事,发送页面请求后,会有很多代理服务器同时对C请求页面,由于所申请的页面开销较大,很容易导致C的流量超载和资源耗尽,最终走向“拒绝服务”的道路。而该攻击中,代理服务器其实是合法的,很多服务器都需要和他有相关的服务,所以很难屏蔽由他带来的“骚扰”,同时也导致了这种攻击的难以防范。
⒋UDP,ICMP和DRDOS攻击及其变种
控制肉机 发送请求
或连接
攻击成功!
简要分析:很多时候我们会听到有人说PING死某某。其实是用了ICMP的工作原理。他有如下功能:
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
左边的数字表示ICMP的类型值,后面是对该类型的简要理解,PING死某某,其实是发送了8号响应请求报文,在没有关闭0号响应应答的服务器会返回一个0号响应应答报文。这样一来,如果带宽或资源处理能力B+D+…C的话,那么C就无法响应正常其他主机的请求而“拒绝服务”。这是最典型的一种ICMP_FLOOD而已。
如果从这种”比带宽,比资源”的角度来说,那么UDP_FLOOD和DRDOS_FLOOD就算是ICMP_FLOOD的一个变种了吧。所不同的是UDP是利用端口的应答回复。
然而更有趣的是DRDOS_FLOOD攻击,因为以上那些都是通过控制肉机来攻击C的话,DRDOS_FLOOD则是通过“欺骗”很多机器(可以不是肉机)去攻击C,这就好像一个“骗子”A告诉大家说C很有钱,然后大家都一起去C那“打劫”,攻击他。这看上去很玄乎,其实很简单,A发送大量的数据包(比如SYN请求包)给很多机器B,D,…,并伪造源地址为C,当B,D等机器收到报文后误以为是C发来的信息,就都不约而同的给C返回信息。这样就很容易达到“拒绝服务”的效果了!正因为A对各种肉机或机器发送的报文不一样,产生的攻击手段也可以不一样,但是最终效果都是“拒绝服务”,所以就有了很多DDOS攻击的变种。这里就不一一介绍了。
详情点击sharesec或QQ***********
用路由器防止DoS拒绝服务疯狂攻击的方法
拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段,它通过独占网络资源、使其他主机不能进行正常访问,从而导致宕机或网络瘫痪。
DoS攻击主要分为Smurf、SYNFlood和Fraggle三种,在Smurf攻击中,攻击者使用ICMP数据包阻塞服务器和其他网络资源;SYNFlood攻击使用数量巨大的TCP半连接来占用网络资源;Fraggle攻击与Smurf攻击原理类似,使用UDPecho请求而不是ICMPecho请求发起攻击。
尽管网络安全专家都在着力开发阻止DoS攻击的设备,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例,Cisco路由器中的IOS软件具有许多防止DoS攻击的特性,保护路由器自身和内部网络的安全。
使用扩展访问列表
扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型,也可以阻止DoS攻击。ShowIPaccess-list命令能够显示每个扩展访问列表的匹配数据包,根据数据包的类型,用户就可以确定DoS攻击的种类。如果网络中出现了大量建立TCP连接的请求,这表明网络受到了SYNFlood攻击,这时用户就可以改变访问列表的配置,阻止DoS攻击。
使用QoS
使用服务质量优化(QoS)特征,如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等,都可以有效阻止DoS攻击。需要注意的是,不同的QoS策略对付不同DoS攻击的效果是有差别的。例如,WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效,这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列,而SYNFlood攻击中的每一个数据包都会表现为一个单独的数据流。此外,人们可以利用CAR来限制ICMP数据包流量的速度,防止Smurf攻击,也可以用来限制SYN数据包的流量速度,防止SYNFlood攻击。使用QoS防止DoS攻击,需要用户弄清楚QoS以及DoS攻击的原理,这样才能针对DoS攻击的不同类型采取相应的'防范措施。
使用单一地址逆向转发
逆向转发(RPF)是路由器的一个输入功能,该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包,但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。
使用RPF功能需要将路由器设为快速转发模式(CEFswitching),并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势,首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具,对路由器本身产生的性能冲击,要比使用访问列表小得多。
使用TCP拦截
Cisco在IOS11.3版以后,引入了TCP拦截功能,这项功能可以有效防止SYNFlood攻击内部主机。
在TCP连接请求到达目标主机之前,TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下,路由器拦截到达的TCP同步请求,并代表服务器建立与客户机的连接,如果连接成功,则代表客户机建立与服务器的连接,并将两个连接进行透明合并。在整个连接期间,路由器会一直拦截和发送数据包。对于非法的连接请求,路由器提供更为严格的对于half-open的超时限制,以防止自身的资源被SYN攻击耗尽。在监视模式下,路由器被动地观察流经路由器的连接请求,如果连接超过了所配置的建立时间,路由器就会关闭此连接。
在Cisco路由器上开启TCP拦截功能需要两个步骤:一是配置扩展访问列表,以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址,保护内部目标主机或网络。在配置时,用户通常需要将源地址设为any,并且指定具体的目标网络或主机。如果不配置访问列表,路由器将会允许所有的请求经过。
使用基于内容的访问控制
基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展,它基于应用层会话信息,智能化地过滤TCP和UDP数据包,防止DoS攻击。
CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言,半连接是指一个没有完成三阶段握手过程的会话。对UDP而言,半连接是指路由器没有检测到返回流量的会话。
CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候,用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率,当已经存在的半连接数量超过了门限值,路由器就会删除一些半连接,以保证新建立连接的需求,路由器持续删除半连接,直到存在的半连接数量低于另一个门限值;同样,当试图建立连接的频率超过门限值,路由器就会采取相同的措施,删除一部分连接请求,并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除,CBAC可以有效防止SYNFlood和Fraggle攻击。
路由器是企业内部网络的第一道防护屏障,也是黑客攻击的一个重要目标,如果路由器很容易被攻破,那么企业内部网络的安全也就无从谈起,因此在路由器上采取适当措施,防止各种DoS攻击是非常必要的。用户需要注意的是,以上介绍的几种方法,对付不同类型的DoS攻击的能力是不同的,对路由器CPU和内存资源的占用也有很大差别,在实际环境中,用户需要根据自身情况和路由器的性能来选择使用适当的方式。
ddos怎么防御
如何应对 DDoS 攻击?
高防服务器
还是拿最开始重庆火锅店举例,高防服务器就是给重庆火锅店增加了两名保安,这两名保安可以让保护店铺不受流氓骚扰,并且还会定期在店铺周围巡逻防止流氓骚扰。
高防服务器主要是指能独立硬防御 50Gbps 以上的服务器,能够帮助网站拒绝服务攻击,定期扫描网络主节点等,这东西是不错,就是贵
黑名单
面对火锅店里面的流氓,我一怒之下将他们拍照入档,并禁止他们踏入店铺,但是有的时候遇到长得像的人也会禁止他进入店铺。这个就是设置黑名单,此方法秉承的就是 “错杀一千,也不放一百” 的原则,会封锁正常流量,影响到正常业务。
DDoS 清洗
DDos 清洗,就是我发现客人进店几分钟以后,但是一直不点餐,我就把他踢出店里。
DDoS 清洗会对用户请求数据进行实时监控,及时发现 DOS 攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
CDN 加速
CDN 加速,我们可以这么理解:为了减少流氓骚扰,我干脆将火锅店开到了线上,承接外卖服务,这样流氓找不到店在哪里,也耍不来流氓了。
在现实中,CDN 服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的真实 IP,另一方面即使遭遇 DDoS 攻击,也可以将流量分散到各个节点中,防止源站崩溃。
推荐产品
1.百度云加速
百度云加速是百度旗下为网站提供一站式加速、安全防护和搜索引擎优化的产品。百度云加速正为数十万用户的近百万网站提供CDN、网络安全和SEO服务。每天处理十亿级的PV流量及数百亿TB的数据流量,并提供市场顶尖水平的稳定性和抗攻击能力。
优惠链接:
2.京东云星盾
星盾安全加速(SCDN,Secure Content Delivery Network),是京东云推出的一体化分布式安全防御产品,提供免费 SSL 证书,集成 Web 攻击防护、CC 攻击防御、BOT 机器人分析,并将内容分发加速能力融于一身。在边缘节点注入安全能力,形成分布式的安全加速网络,让您的业务更安全、体验更流畅。适用于所有兼顾安全和内容加速的业务。
优惠链接:
0条大神的评论