1. 首頁 > 生活 > >

服務器怎么防ddos攻擊 怎么防護ddos

小知識怎么防護ddos



文章插圖
服務器怎么防ddos攻擊 怎么防護ddos

文章插圖
談談DDoS的攻擊方式
分布式拒絕服務攻擊的精髓是:利用分布式的客戶端,向目標發起大量看上去合法的請求,消耗或者占用大量資源,從而達到拒絕服務的目的 。
DDoS攻擊
其主要攻擊方法有4種:
1、 攻擊帶寬
跟帝都的交通堵塞情況一樣,大家都該清楚,當網絡數據包的數量達到或者超過上限的時候,會出現網絡擁堵、響應緩慢的情況 。DDoS就是利用這個原理,發送大量網絡數據包,占滿被攻擊目標的全部帶寬,從而造成正常請求失效,達到拒絕服務的目的 。
攻擊者可以使用ICMP洪水攻擊(即發送大量ICMP相關報文)、或者UDP洪水攻擊(即發送用戶數據報協議的大包或小包),使用偽造源IP地址方式進行隱匿,并對網絡造成擁堵和服務器響應速度變慢等影響 。
但是這種直接方式通常依靠受控主機本身的網絡性能,所以效果不是很好,還容易被查到攻擊源頭 。于是反射攻擊就出現,攻擊者使用特殊的數據包,也就是IP地址指向作為反射器的服務器,源IP地址被偽造成攻擊目標的IP,反射器接收到數據包的時候就被騙了,會將響應數據發送給被攻擊目標,然后就會耗盡目標網絡的帶寬資源 。
2、 攻擊系統
創建TCP連接需要客戶端與服務器進行三次交互,也就是常說的“三次握手” 。這個信息通常被保存在連接表結構中,但是表的大小有限,所以當超過了存儲量,服務器就無法創建新的TCP連接了 。
攻擊者就是利用這一點,用受控主機建立大量惡意的TCP連接,占滿被攻擊目標的連接表,使其無法接受新的TCP連接請求 。如果攻擊者發送了大量的TCP SYN報文,使服務器在短時間內產生大量的半開連接,連接表也會被很快占滿,導致無法建立新的TCP連接,這個方式是SYN洪水攻擊,很多攻擊者都比較常用 。
DDoS攻擊系統
3、 攻擊應用
由于DNS和Web服務的廣泛性和重要性,這兩種服務就成為了消耗應用資源的分布式拒絕服務攻擊的主要目標 。
比如向DNS服務器發送大量查詢請求,從而達到拒絕服務的效果,如果每一個DNS解析請求所查詢的域名都是不同的,那么就有效避開服務器緩存的解析記錄,達到更好的資源消耗效果 。當DNS服務的可用性受到威脅,互聯網上大量的設備都會受到影響而無法正常使用 。
近些年,Web技術發展非常迅速,如果攻擊者利用大量的受控主機不斷地向Web服務器惡意發送大量HTTP請求,要求Web服務器處理,就會完全占用服務器資源,讓正常用戶的Web訪問請求得不到處理,導致拒絕服務 。一旦Web服務受到這種攻擊,就會對其承載的業務造成致命的影響 。
4、 混合攻擊
在實際的生活中,乖哦概念采訪人員并不關心自己使用的哪種攻擊方法管用,只要能夠達到目的,一般就會發動其所有的攻擊手段,盡其所能的展開攻勢 。對于被攻擊目標來說,需要面對不同的協議、不同資源的分布式拒絕服務攻擊,分析、響應和處理的成本就會大大增加 。
隨著僵尸網絡向著小型化的趨勢發展,為降低攻擊成本,有效隱藏攻擊源,躲避安全設備,同時保證攻擊效果,針對應用層的小流量慢速攻擊已經逐步發展壯大起來 。因此,從另一個角度來說,DDoS攻擊方面目前主要是兩個方面:UDP及反射式大流量高速攻擊、和多協議小流量及慢速攻擊 。
HACKER
也說說DDoS的攻擊工具
國人比較講究:工欲善其事必先利其器 。隨著開源的DDoS工具撲面而來,網絡攻擊變得越來越容易,威脅也越來越嚴重 。工具有很多,簡單介紹幾款知名的,讓大家有個簡單了解 。
LOIC
【服務器怎么防ddos攻擊 怎么防護ddos】現代冰箱顯示控制面板
LOIC
LOIC低軌道離子炮,是一個最受歡迎的DOS攻擊的淹沒式工具,會產生大量的流量,可以在多種平臺運行,包括Linux、Windows、Mac OS、Android等等 。早在2010年,黑客組織對反對維基解密的公司和機構的攻擊活動中,該工具就被下載了3萬次以上 。
LOIC界面友好,易于使用,初學者也可以很快上手 。但是由于該工具需要使用真實IP地址,現在Anonymous已經停用了 。
HULK (HTTP Unbearable Load King)
3 d-呈現虛擬空間中的抽象代碼塊 。計算機代碼中的攝像頭
HULK
HULK是另一個DOS攻擊工具,這個工具使用UserAgent的偽造,來避免攻擊檢測,可以通過啟動500線程對目標發起高頻率HTTP GET FLOOD請求,牛逼的是每一次請求都是獨立的,可以繞過服務端的緩存措施,讓所有請求得到處理 。HULK是用Python語言編寫,對獲得源碼進行更改也非常方便 。
R.U.D.Y.
R-U-Dead-Yet是一款采用慢速HTTP POST請求方式進行DOS攻擊的工具,它提供了一個交互式控制臺菜單,檢測給定的URL,并允許用戶選擇哪些表格和字段應用于POST-based DOS攻擊,操作非常簡單 。
R.U.D.Y.
而且它也使用的是Python語言編寫,可移植性非常好 。R.U.D.Y.能夠對所有類型的Web服務端軟件造成影響,因此攻擊的威脅非常大 。
這些工具在保持攻擊力的同時還再加強易用性,而免費和開源降低了使用的門檻,相信隨著攻防對抗的升級,工具會越來越智能化 。
關注我回復【工具】領取
談談DDoS的攻擊方式
分布式拒絕服務攻擊的精髓是:利用分布式的客戶端,向目標發起大量看上去合法的請求,消耗或者占用大量資源,從而達到拒絕服務的目的 。
DDoS攻擊
其主要攻擊方法有4種:
1、 攻擊帶寬
跟帝都的交通堵塞情況一樣,大家都該清楚,當網絡數據包的數量達到或者超過上限的時候,會出現網絡擁堵、響應緩慢的情況 。DDoS就是利用這個原理,發送大量網絡數據包,占滿被攻擊目標的全部帶寬,從而造成正常請求失效,達到拒絕服務的目的 。
攻擊者可以使用ICMP洪水攻擊(即發送大量ICMP相關報文)、或者UDP洪水攻擊(即發送用戶數據報協議的大包或小包),使用偽造源IP地址方式進行隱匿,并對網絡造成擁堵和服務器響應速度變慢等影響 。
但是這種直接方式通常依靠受控主機本身的網絡性能,所以效果不是很好,還容易被查到攻擊源頭 。于是反射攻擊就出現,攻擊者使用特殊的數據包,也就是IP地址指向作為反射器的服務器,源IP地址被偽造成攻擊目標的IP,反射器接收到數據包的時候就被騙了,會將響應數據發送給被攻擊目標,然后就會耗盡目標網絡的帶寬資源 。
2、 攻擊系統
創建TCP連接需要客戶端與服務器進行三次交互,也就是常說的“三次握手” 。這個信息通常被保存在連接表結構中,但是表的大小有限,所以當超過了存儲量,服務器就無法創建新的TCP連接了 。
攻擊者就是利用這一點,用受控主機建立大量惡意的TCP連接,占滿被攻擊目標的連接表,使其無法接受新的TCP連接請求 。如果攻擊者發送了大量的TCP SYN報文,使服務器在短時間內產生大量的半開連接,連接表也會被很快占滿,導致無法建立新的TCP連接,這個方式是SYN洪水攻擊,很多攻擊者都比較常用 。
DDoS攻擊系統
3、 攻擊應用
由于DNS和Web服務的廣泛性和重要性,這兩種服務就成為了消耗應用資源的分布式拒絕服務攻擊的主要目標 。
比如向DNS服務器發送大量查詢請求,從而達到拒絕服務的效果,如果每一個DNS解析請求所查詢的域名都是不同的,那么就有效避開服務器緩存的解析記錄,達到更好的資源消耗效果 。當DNS服務的可用性受到威脅,互聯網上大量的設備都會受到影響而無法正常使用 。
近些年,Web技術發展非常迅速,如果攻擊者利用大量的受控主機不斷地向Web服務器惡意發送大量HTTP請求,要求Web服務器處理,就會完全占用服務器資源,讓正常用戶的Web訪問請求得不到處理,導致拒絕服務 。一旦Web服務受到這種攻擊,就會對其承載的業務造成致命的影響 。
4、 混合攻擊
在實際的生活中,乖哦概念采訪人員并不關心自己使用的哪種攻擊方法管用,只要能夠達到目的,一般就會發動其所有的攻擊手段,盡其所能的展開攻勢 。對于被攻擊目標來說,需要面對不同的協議、不同資源的分布式拒絕服務攻擊,分析、響應和處理的成本就會大大增加 。
隨著僵尸網絡向著小型化的趨勢發展,為降低攻擊成本,有效隱藏攻擊源,躲避安全設備,同時保證攻擊效果,針對應用層的小流量慢速攻擊已經逐步發展壯大起來 。因此,從另一個角度來說,DDoS攻擊方面目前主要是兩個方面:UDP及反射式大流量高速攻擊、和多協議小流量及慢速攻擊 。
HACKER
也說說DDoS的攻擊工具
國人比較講究:工欲善其事必先利其器 。隨著開源的DDoS工具撲面而來,網絡攻擊變得越來越容易,威脅也越來越嚴重 。工具有很多,簡單介紹幾款知名的,讓大家有個簡單了解 。
LOIC
汽車智能多媒體系統
LOIC
LOIC低軌道離子炮,是一個最受歡迎的DOS攻擊的淹沒式工具,會產生大量的流量,可以在多種平臺運行,包括Linux、Windows、Mac OS、Android等等 。早在2010年,黑客組織對反對維基解密的公司和機構的攻擊活動中,該工具就被下載了3萬次以上 。
LOIC界面友好,易于使用,初學者也可以很快上手 。但是由于該工具需要使用真實IP地址,現在Anonymous已經停用了 。
HULK (HTTP Unbearable Load King)
3 d-呈現虛擬空間中的抽象代碼塊 。計算機代碼中的攝像頭
HULK
HULK是另一個DOS攻擊工具,這個工具使用UserAgent的偽造,來避免攻擊檢測,可以通過啟動500線程對目標發起高頻率HTTP GET FLOOD請求,牛逼的是每一次請求都是獨立的,可以繞過服務端的緩存措施,讓所有請求得到處理 。HULK是用Python語言編寫,對獲得源碼進行更改也非常方便 。
R.U.D.Y.
R-U-Dead-Yet是一款采用慢速HTTP POST請求方式進行DOS攻擊的工具,它提供了一個交互式控制臺菜單,檢測給定的URL,并允許用戶選擇哪些表格和字段應用于POST-based DOS攻擊,操作非常簡單 。
R.U.D.Y.
而且它也使用的是Python語言編寫,可移植性非常好 。R.U.D.Y.能夠對所有類型的Web服務端軟件造成影響,因此攻擊的威脅非常大 。
這些工具在保持攻擊力的同時還再加強易用性,而免費和開源降低了使用的門檻,相信隨著攻防對抗的升級,工具會越來越智能化 。