DDoS介绍
DDoS(英文Distributed Denial of Service,即分布式拒绝服务),这是一种网络攻击方式,主要目的是以分布式攻击来让指定目标无法提供正常服务,甚至从互联网上消失。说白了就是一定时间内增大访问量,使其无法正常提供服务。看过形象也好笑的比喻是,春运抢火车票导致12306网站瘫痪,就是DDOS攻击。
DDOS只不过是一个概称,其下有各种攻击方式,比如“CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击等等”
DDoS攻击原理
攻击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。
大家应该还听过DoS攻击。DoS(拒绝服务,Denial of Service)就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。这是早期非常基本的网络攻击方式。
DDOS攻击的类型
虽然有很多方法可以执行DDOS攻击,但我会列出更有名的攻击方式。这些方法因其成功率和造成的损害而闻名。值得注意的是,随着技术的进步,更有创造力的人们已经设计出更加狡猾的方式来执行DOS攻击。
DDOS攻击类型:
死亡之平
根据TCP / IP协议,数据包的小可以是65,535字节。死亡攻击的攻击利用了这个特殊的事实。在这种类型的攻击中,攻击者在数据包片段加起来时发送过大数据包大小的数据包。计算机通常不知道如何处理这些数据包并终冻结或有时完全崩溃。
反映的攻击
在这种情况下,这种类型的攻击是在僵尸网络(也称为反射器)的帮助下执行的。攻击者使用看起来像来自受害者机器的僵尸网络向一群无辜的计算机发送连接请求(这是通过欺骗数据包头中的源来完成的)。这使得计算机主机向受害计算机发送确认。由于从不同的计算机到同一台机器有多个这样的请求,这会使计算机过载并使其崩溃。这种类型也称为smurf攻击。
邮件炸弹
邮件炸弹攻击通常攻击电子邮件服务器。在这种类型的攻击中,填充有随机垃圾值的大电子邮件将被发送到目标电子邮件服务器,而不是数据包。这通常会导致电子邮件服务器因负载突然飙升而崩溃,并使其无法使用直到修复。
Teardrop
在这种类型的攻击中,分组的分段偏移字段被滥用。IP报头中的一个字段是“片段偏移”字段,其指示包含在分段分组中的数据相对于原始分组中的数据的起始位置或偏移。如果一个分段分组的偏移和大小的总和不同于下一个分段分组的总和,则分组重叠。发生这种情况时,容易受到泪滴攻击的服务器无法重新组装数据包,从而导致拒绝服务的情况。
如何有效防止ddos攻击
1)采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2)尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3)充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4)升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5)把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
DDoS攻击重大案例
下面来看下DDoS攻击的几个案例吧。
2000年2月,包括雅虎、CNN、亚马逊、eBay、ZDNet,以及E*Trade和Datek等网站均遭受到了DDoS攻击,并致使部分网站瘫痪。
2007年5月,爱沙尼亚三周内遭遇三轮DDoS攻击,总统府、议会、几乎全部政府部门、主要政党、主要媒体和2家大银行和通讯公司的网站均陷入瘫痪,为此北约顶级反网络恐怖主义专家前往该国救援。
2009年519断网事件导致南方六省运营商服务器全部崩溃,电信在南方六省的网络基本瘫痪。
2009年7月,韩国主要网站三天内遭遇三轮猛烈的DDOS攻击,韩国宣布提前成立网络司令部。
近比较著名的案例有:全球三大游戏平台:暴雪战网、Valve Steam和EA Origin遭到大规模DDoS攻击,致使大批玩家无法登录与进行游戏。随后名为DERP的黑客组织声称对此次大规模的DDoS攻击行动负责。
