ddos平台带你探究DDoS攻击原理及防护

随着互联网时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(动态拒绝服务)攻击技术因其隐蔽性和高效性而一直是网络攻击者最常用的攻击方法。它严重威胁着互联网的安全。

一,DDoS攻击的工作原理
1.1 DDoS的定义
Doos(拒绝服务)攻击是DDos的前身,是一种拒绝服务攻击。这种攻击导致网站服务器泛滥大量需要回复的信息,消耗网络带宽或系统资源,导致网络或系统过载并停止提供正常。网络服务。 DDoS分布式拒绝服务主要利用Internet上现有机器和系统的漏洞,捕获大量网络主机,使其成为攻击者的代理。当受控计算机的数量达到一定数量时,攻击者通过发送命令来操纵攻击者,同时向目标主机或网络发起DoS攻击,消耗大量网络带宽和系统资源,导致网络或系统停止或提供正常的网络。服务。由于DDos的分布式特性,它具有比Dos更强大的攻击和破坏。
1.2 DDoS攻击原理
如图1所示,一个相对完整的DDos攻击系统分为四个部分,即攻击者(攻击者也可以称为主人),控制处理者,攻击者(恶魔,也称为代理人)和受害者。第2节和第3节分别用于控制和实际发射攻击。第2部分的控制部分仅发布命令,不参与实际攻击。攻击的第三部分在停机时启动DDoS实际攻击包。对于计算机的第二和第三部分,攻击者具有控制或部分控制,并将相应的DDoS程序上载到这些平台。这些程序像普通程序一样运行,并等待攻击者的指令。通常它也使用各种手段来隐藏自己不被他人发现。在正常情况下,这些计算机并非异常,但一旦攻击者连接到它们进行控制并发出指令,攻击者就会成为攻击者发起攻击。

采用这种结构的原因是隔离网络连接并保护攻击者在攻击过程中不被监视系统跟踪。同时,它可以更好地协调攻击,因为攻击执行器的数量太多,并且一个系统发出的命令将导致控制系统的网络阻塞,影响攻击的突发性和协同性。此外,流量突然增加很容易暴露攻击者的位置和意图。整个过程可分为:1)扫描大量主机以找到无法攻击的主机目标;
2)具有安全漏洞和控制权的主机;
3)在入侵主机上安装攻击程序;
4)继续扫描并入侵入侵主机。
当受控攻击代理达到攻击者满意的数量时,攻击者可以通过攻击主机随时发出命令。由于攻击主机的位置非常灵活,发出命令的时间非常短,因此定位起来非常隐蔽。一旦攻击命令被发送到攻击操纵器,主机就可以关闭或断开与网络的连接以逃避跟踪,并且攻击操纵器将向每个攻击代理发出命令。攻击代理收到攻击命令后,开始向目标主机发送大量服务请求报文。这些数据包被伪装,以便攻击者无法识别其源端,并且这些数据包请求的服务通常会消耗大量系统资源,如CP或网络带宽。如果数百甚至数千个攻击代理同时攻击目标,则会导致目标主机网络和系统资源耗尽,从而停止服务。有时它甚至可能导致系统崩溃。
此外,这可以阻止目标网络上的防火墙和路由器等网络设备,进一步增加网络拥塞。结果,目标主机根本无法向用户提供任何服务。攻击者使用的协议是一些非常常见的协议和服务。这样,系统管理员很难区分恶意请求和肯定连接请求,从而无法有效地分离攻击数据包。
二,DDoS攻击识别
DDoS(拒绝服务)攻击的主要目的是使指定的目标无法提供正常服务,甚至从Internet上消失。它是最强大和最困难的防御方法之一。
2.1 DDoS表示
DDoS有两种主要表现形式。一种是流量攻击,主要用于网络带宽攻击。也就是说,大量的攻击数据包会导致网络带宽被阻塞,合法的网络数据包被伪造的攻击数据包淹没,无法到达主机。对于资源耗尽攻击,主要是针对服务器主机的政治攻击,即主机内存耗尽或CPU核心和应用程序被大量攻击数据包占用,无法提供网络服务。
2.2攻击识别
交通攻击识别有两种主要方法:
1)Ping测试:如果Ping超时或丢包严重,攻击可能会受到攻击。如果无法访问同一交换机上的服务器,则可以将其确定为流量攻击。该测试假设受害者主机和服务器之间的ICMP协议未被路由器和防火墙等设备阻止;
2)Telnet测试:其突出特点是远程终端无法连接到服务器。相对流量攻击和资源耗尽攻击很容易判断。如果网站访问突然非常缓慢或无法访问,但它可以被ping,它很可能会受到攻击。在Netstat-na命令中,观察到大量的SYN_RECEIVED,TIME_WAIT,FIN_WAIT_1和其他状态,并且EASTBLISHED非常小。它可以被确定为资源耗尽攻击。其特点是受害主机被ping或丢包严重,同一交换机上的服务器正常。原因是攻击导致系统内核或应用程序CPU利用率达到100%并且无法响应Ping命令。但是,由于仍有带宽,因此可以ping通同一交换机上的主机。三,DDoS攻击模式
有许多DDoS攻击及其变种。就他们的攻击方法而言,有三种最流行的DDoS攻击。
3.1 SYN/ACK泛洪攻击
这种攻击方法是一种经典有效的DDoS攻击方法,它可以杀死各种系统的网络服务,主要是通过向受害主机发送大量假源P和源端口SYN或ACK数据包,导致主机的缓存资源为累。或者忙于发送响应数据包并导致拒绝服务。由于来源受伤,很难追踪。缺点是难以实现并且需要高带宽的僵尸主机支持。少数此类攻击将导致主机服务器无法访问。但是,它可以被ping。服务器上的Netstat-na命令将观察到大量的SYN RECEIVED状态。大量此类攻击将导致Ping失败,TCP/IP堆栈将失败,并且将发生系统固化。不响应键盘和鼠标。大多数普通防火墙都无法承受这种攻击。
攻击过程如图2所示。正常的TCP连接是3次握手。系统B向系统A发送SYN/ACK数据包后,它将停止在SYN RECV状态,并等待系统A返回ACK数据包。此时,系统B已准备好建立。连接分配资源。如果攻击者系统A使用伪造的源IP,则系统B始终处于“半连接”等待状态,直到超时清除连接队列的连接为止;由于定时器设置和连接队列等,在短时间内,只要系统A连续向系统B发送伪造源IP的连接请求,系统A就可以成功攻击系统B,而系统B无法响应其他正常连接要求。

3.2 TCP完全连接攻击
这种攻击旨在绕过对传统防火墙的检查。通常,大多数传统防火墙都能够过滤掉TearDrop和Land等DOS攻击,但它们是为正常的TCP连接而发布的。许多网络服务程序都是未知的。如:IIS,Apache和其他Web服务器)可接受的TCP连接数量有限。一旦有大量的TCP连接,即使是正常的,网站访问也会非常慢,甚至无法访问。 TCP完全连接攻击是通过许多僵尸。主机持续与受害者服务器建立大量TCP连接,直到服务器的内存和其他资源被拖过,导致拒绝服务。此攻击的特点是绕过一般防火墙的保护并实现攻击的目的。有必要找到很多僵尸主机,并且由于僵尸主机的IP被暴露,这样的DDO攻击者很容易跟踪。3.3 TCP刷脚本脚本攻击
此攻击主要针对存在ASP,JSP,PHP,CGI等脚本,并调用MSSQL Server,网站系统My SQL Server,Oracle等数据库进行设计,表征与服务器建立正常的TCP连接,继续脚本程序提交消耗大量数据库资源的查询,列表和其他调用,通常采用小型攻击方法。通常,用于提交GET或POST指令的客户端的成本和带宽使用几乎可以忽略不计,并且服务器可能必须从数万条记录中找到记录以便处理该请求。资源成本非常高。通用数据库服务器很少能同时支持数百条查询指令,这对客户来说很容易,因此攻击者只需要通过Proxy代理向主机服务器提交大量数据。查询说明,只需几分钟就会消耗服务器资源并导致拒绝服务。常见的现象是网站速度慢如蜗牛,ASP程序无效,PHP连接数据库失败,数据库主程序占用高CPU。这种攻击的特点是它可以完全绕过普通的防火墙保护。很容易找到一些Poxy代理来实现攻击。缺点是处理只有静态页面的网站的效果会大大降低,一些代理会公开DDOS攻击者的IP地址。
四,DDoS保护策略
DDoS保护是一种系统工程。依靠某个系统或产品来阻止DDoS是不现实的。可以肯定地说,完全消除DDoS是不可能的,但可以通过适当的措施来抵御大多数DDoS攻击。通过这样做,存在基于攻击和防御的成本开销。如果通过适当的方式增强防御DDoS的能力,则意味着攻击者的攻击成本增加,因此大多数攻击者将无法继续。放弃相当于成功抵御DDoS攻击。
4.1使用高性能网络设备
Anti-DDoS攻击必须首先确保网络设备不会成为瓶颈。因此,在选择路由器,交换机,硬件防火墙等时,尽量使用信誉高,口碑好的产品。如果您与网络提供商有特殊的关系或协议,那就更好了。当发生大量攻击时,要求他们在网络联系人处进行流量限制以对抗某些类型的DDoS攻击是非常有效的。
4.2尽量避免使用NAT
路由器和硬件围栏设备都应尽量避免使用网络地址转换NAT,除了使用NAT外,因为使用这种技术会大大降低网络通信能力,原因很简单,因为NAT需要转换地址,转换在此过程中,需要计算网络数据包的校验和,从而浪费大量的CPU时间。4.3足够的网络带宽保证
网络带宽直接决定了抵御攻击的能力。如果只有10M带宽,则无论采取何种措施,都很难对抗当前的SYNFlood攻击。目前,应该选择至少100M的共享带宽。 1000M的带宽会更好,但需要注意主机上的网卡是1000M。这并不意味着其网络带宽是千兆位。如果它连接到100M交换机,其实际带宽不会超过100M,然后它将连接到100M带宽。这并不意味着带宽为100兆字节,因为网络服务提供商可能会将交换机上的实际带宽限制为10M。
4.4升级主机服务器硬件
在网络带宽保证的前提下,尝试改进硬件配置。为了有效地每秒对抗100,000个SYN攻击数据包,服务器的配置至少应该是:P4 2.4G/DDR512M/SCSI-HD。主要功能是CPU。而内存,内存必须选择DDR高速内存,硬盘应尽量选择SCSI,以确保高硬件性能和稳定性,否则会付出高性价比。
4.5使网站成为静态页面
大量事实证明,尽可能使网站静态不仅可以大大提高防攻击能力,还会给黑客带来很多麻烦。到目前为止,还没有任何HTML,新浪,搜狐,网易的溢出。门户网站主要是静态页面。
此外,最好拒绝在需要调用数据库的脚本中访问代理,因为经验表明,对我们站点使用代理访问的80%是恶意的。
五,总结
DDoS政治罢工不断发展,变得越来越强大,秘密,更有针对性,更复杂。它已成为互联网安全的主要威胁。同时,随着系统更新,新的系统漏洞不断涌现,DDoS攻击技术的改进也增加了DDoS保护的难度。有效地处理此类攻击是一项系统工程。它不仅需要技术人员探索保护手段,而且网络用户必须具备基本的保护意识和网络攻击手段。只有结合技术手段和人员素质,才能最大限度地发挥网络保护的有效性DDOS平台

相关推荐

发表评论

路人甲

网友评论(0)