當前位置 : 首頁>軟件學院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

DDoS攻擊以及防范措施

http://m.yibo1263.com　2008-7-18 7:49:07 　來源:本站　編輯:葉子

　　DoS（Denial of Service拒絕服務(wù)）和DDoS（Distributed Denial of Service分布式拒絕服務(wù)）攻擊是大型網(wǎng)站和網(wǎng)絡(luò)服務(wù)器的安全威脅之一，2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。

　　商業(yè)利益的驅(qū)使，促成DDOS攻擊不斷

　　隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布，DDOS拒絕服務(wù)攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。

　　在我國，DDOS攻擊多數(shù)來自美國，占39％，而中國是拒絕服務(wù)攻擊的主要目標，占63%。這是亞太及日本地區(qū)互聯(lián)網(wǎng)安全威脅報告中的一部分數(shù)據(jù)。中國成為DDoS攻擊的主要目標。據(jù)介紹，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都屬“拒絕服務(wù)攻擊”。出于商業(yè)競爭、打擊報復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機房、商業(yè)站點、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDOS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

　　到底什么是DDOS？你被DDOS了嗎？

　　DDOS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達成攻擊者不可告人的目的。

　　雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側(cè)重于通過對主機特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

　　就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范，至于DOS攻擊，通過給主機服務(wù)器打補丁或安裝防火墻軟件就可以很好地防范，后文會詳細介紹怎么對付DDOS攻擊。

　　DDOS的表現(xiàn)形式

　　DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

　　如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。不過有一

　　點可以肯定，假如平時Ping你的主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的，突然都Ping不通了或者是嚴重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務(wù)器會失敗。

　　相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。

本新聞共3頁,當前在第1頁 1 2 3

【收藏】【打印】【進入論壇】

相關(guān)文章：

·網(wǎng)管安全日志 DDoS的監(jiān)測及防御

·DDoS deflate:自動屏蔽DDOS攻擊IP

·預(yù)防DDOS保護好自己的網(wǎng)絡(luò)流量

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费