DDoS(英文全稱: Distributed Denial of Service,縮寫:DDoS ),翻譯成中文,意思是“分布式拒絕服務(wù)”。DDoS攻擊,是一種耗盡攻擊目標的系統(tǒng)資源或網(wǎng)絡(luò)帶寬,導(dǎo)致攻擊目標無法響應(yīng)正常服務(wù)請求的網(wǎng)絡(luò)攻擊方式。這種攻擊手法通過借助于“客戶/服務(wù)器”技術(shù),將多個計算機聯(lián)合起來作為攻擊平臺,對一個或者多個目標發(fā)動攻擊。
DDoS攻擊,是基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布式、協(xié)作的大規(guī)模攻擊方式,主要瞄準一些企業(yè)或政府部門的網(wǎng)站發(fā)起攻擊。
一、DDoS攻擊的原理:
DDoS攻擊分為3層:攻擊者、主控端、代理端,這三者在攻擊中扮演著不同的角色。
1、攻擊者:攻擊者所用的計算機是攻擊主控臺,可以是網(wǎng)絡(luò)上的任何一臺主機,甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程,它向主控端發(fā)送攻擊命令。
2、主控端:主控端是攻擊者非法侵入并控制的一些主機,這些主機還分別控制著大量的代理主機。主控端主機上面安裝了特定的程序,因此它們可以接受攻擊者發(fā)來的特殊指令,并且可以把這些命令發(fā)送到代理主機上。
3、代理端:代理端同樣也是攻擊者侵入并控制的一批主機,它們上面運行攻擊器程序,接受和執(zhí)行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者,真正向受害者主機發(fā)送攻擊。
攻擊者發(fā)起DDoS攻擊的第一步,就是尋找在Internet上有漏洞的主機,進入系統(tǒng)后在其上面安裝后門程序。攻擊者入侵的主機越多,他的攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序,其中一部分主機充當攻擊的主控端,另一部分主機充當攻擊的代理端。最后各部分主機各司其職,在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。由于攻擊者在幕后操縱,所以在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤,隱蔽性較強,身份不容易被發(fā)現(xiàn)。
以上就是DDoS攻擊的原理,它能在短時間內(nèi)對攻擊目標發(fā)起大量的訪問請求,試圖耗盡攻擊目標的網(wǎng)絡(luò)資源或服務(wù)器資源,讓攻擊目標的網(wǎng)絡(luò)堵塞、陷入癱瘓或者服務(wù)器無法響應(yīng)正常的訪問請求,并最終造成攻擊目標網(wǎng)站的實質(zhì)性無法訪問。
二、DDoS攻擊具體有哪些類型?
從技術(shù)角度來講,DDoS攻擊不是一種單純的網(wǎng)絡(luò)流量攻擊,而是一大類網(wǎng)絡(luò)流量攻擊的總稱,它有多種類型,包括:TCP—SYN Flood流量攻擊、UDP Flood流量攻擊、ICMP Flood流量攻擊、ACK Flood流量攻擊等,以及其他變種類型的攻擊。
TCP—SYN Flood是當前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)的方式之一。TCP—SYN Flood是一種針對TCP/IP協(xié)議的缺陷發(fā)起的攻擊,其明顯特征是被攻擊者的主機上存在大量的TCP連接。TCP—SYN Flood屬于DDoS的一種,其威力比其他DDoS種類要強很多,因為它是基于連接的攻擊,而不是單純的數(shù)據(jù)包攻擊,所以被攻擊者的主機很快癱瘓。如果黑客“肉雞”(被操控的傀儡機)夠多的話,可以攻下一個網(wǎng)站。
UDP Flood是屬于UDP協(xié)議中的一種流量型DoS攻擊,其攻擊特征是,偽造大量的真實IP,并用大量的UDP小包沖擊DNS服務(wù)器或流媒體視頻服務(wù)器等。由于UDP協(xié)議是一種無連接的服務(wù),在UDP Flood攻擊中,攻擊者可發(fā)送大量偽造源IP地址的小UDP包,只要服務(wù)器開啟了UDP的端口,就會受到流量攻擊。防御方法是,可對UDP包的數(shù)據(jù)大小進行設(shè)置,嚴格把控發(fā)送的數(shù)據(jù)包大小,超過一定值的數(shù)據(jù)包進行丟棄;另外,只有建立了TCP連接的IP,才能發(fā)送UDP包,否則直接屏蔽該IP。
ICMP Flood是利用ICMP協(xié)議對服務(wù)器進行Ping的攻擊,當出現(xiàn)ICMP Flood攻擊的時候,只要禁止ping就行了。ICMP Flood只對那些沒有禁止ping的計算機有效,不管黑客有多少“肉雞”(被操控的傀儡機),只要禁止ping,他都無可奈何。
ACK Flood攻擊跟TCP—SYN Flood攻擊的原理差不多,同樣都是采用發(fā)送數(shù)據(jù)包到服務(wù)器端的方式。攻擊者利用ACK數(shù)據(jù)包進行攻擊,當每秒鐘發(fā)送ACK數(shù)據(jù)包的速率達到一定的程度,就會造成ACK連接過多導(dǎo)致服務(wù)器的資源被耗盡,服務(wù)器無法再正常處理ACK數(shù)據(jù)包,出現(xiàn)網(wǎng)頁反應(yīng)很慢,丟包率很高的現(xiàn)象。
三、服務(wù)器應(yīng)對DDoS攻擊的方法和策略
在這里給大家分享一些服務(wù)器應(yīng)對和緩解DDoS攻擊的方法與策略,以供大家參考、借鑒。
1、確保服務(wù)器系統(tǒng)安全
①確保服務(wù)器的系統(tǒng)文件是最新的版本,并及時更新系統(tǒng)補丁。
②管理員需對所有主機進行檢查,知道訪問者的來源。
③關(guān)閉不必要的服務(wù):在服務(wù)器上刪除未使用的服務(wù),關(guān)閉未使用的端口。
④限制同時打開的SYN半連接數(shù)目,縮短SYN半連接的等待時間,限制SYN/ICMP流量。
⑤正確設(shè)置防火墻,在防火墻上運行端口映射程序或端口掃描程序。
⑥認真檢查網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時間變更,那么這臺機器就很有可能遭受到了攻擊。
⑦限制在防火墻外與網(wǎng)絡(luò)文件共享,這樣會給黑客截取系統(tǒng)文件的機會,若黑客以特洛伊木馬替換它,文件傳輸功能無疑會陷入癱瘓。
2、其他的一些防御方法和措施
①隱藏服務(wù)器真實IP
服務(wù)器防御DDoS攻擊,最根本的措施就是隱藏服務(wù)器的真實IP地址。當服務(wù)器對外傳送信息時,就可能會泄露IP地址,例如,我們常見的使用服務(wù)器發(fā)送郵件功能,就會泄露服務(wù)器的IP地址。
因而,我們在發(fā)送郵件時,需要通過第三方代理進行發(fā)送,這樣顯示出來的IP是代理IP,因而不會泄露真實的IP地址。在資金充足的情況下,可以選擇高防服務(wù)器,且在服務(wù)器前端加CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))中轉(zhuǎn),所有的域名和子域都使用CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))來解析。
②關(guān)掉服務(wù)器不必要的服務(wù)和端口
關(guān)掉服務(wù)器不必要的服務(wù)和端口,這也是服務(wù)器運維人員最常用的做法。在服務(wù)器防火墻中,只開啟使用的端口,比如:網(wǎng)站web服務(wù)的80端口、數(shù)據(jù)庫的3306端口、SSH服務(wù)的22端口等。關(guān)掉、屏蔽不必要的服務(wù)和端口,在路由器上過濾假的IP地址。
③限制SYN/ICMP流量
用戶應(yīng)在路由器上配置SYN/ICMP的最大流量,來限制SYN/ICMP封包所能占有的最高頻寬。通過這樣的限制,當出現(xiàn)大量超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵和攻擊。早期通過限制SYN/ICMP流量,是防御DoS攻擊最好的方法,雖然目前該方法對于防御DDoS攻擊的效果不太明顯了,不過仍然還是能夠起到一定的作用。
④提供余量帶寬
通過服務(wù)器性能測試,評估正常業(yè)務(wù)環(huán)境下所能承受的帶寬和請求數(shù)目。在購買帶寬時,確保有一定的余量帶寬,這樣可以避免遭受攻擊時,帶寬大于正常使用量而影響正常用戶的情況。
⑤高防CDN
CDN(內(nèi)容分發(fā)網(wǎng)絡(luò)),通過部署在網(wǎng)絡(luò)上不同地方的邊緣節(jié)點服務(wù)器,能夠讓用戶以最短的距離和時間獲得所需要的內(nèi)容,從而避免單節(jié)點帶來的網(wǎng)絡(luò)擁堵和信息延遲。正是因為CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))在全網(wǎng)都能部署中轉(zhuǎn)節(jié)點,并且具有可以隱藏原服務(wù)器IP地址的功能,因此CDN(內(nèi)容分發(fā)網(wǎng)絡(luò))除了可以用來加速網(wǎng)絡(luò)服務(wù)之外,還能用來充當“高防服務(wù)器”使用。相比臨時租用的高防帶寬,高防CDN的價格相對比較便宜。
目前而言,DDoS攻擊并沒有一勞永逸的根治方法,做不到徹底杜絕和消滅,只能采取各種手段在一定程度上減緩攻擊帶來的傷害和損失。所以服務(wù)器的日常運維工作,還是要做好基本的保障。
億速云,是一家擁有豐富行業(yè)積淀的專業(yè)云計算服務(wù)提供商、云安全服務(wù)提供商,致力于為廣大用戶提供的“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器”等云主機租用服務(wù),具有安全穩(wěn)定、簡單易用、高可用性、高性價比的特點與優(yōu)勢,專為中小企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
億速云為用戶提供專業(yè)抗DDoS攻擊、DoS攻擊、CC攻擊的高防云服務(wù)器、高防香港服務(wù)器、高防裸金屬服務(wù)器,具有“超大防護帶寬、超強清洗能力、全業(yè)務(wù)場景支持”的特點與優(yōu)勢,能夠更加精準有效地防御DDoS攻擊、DoS攻擊和CC攻擊,真正做到了降低用戶的防御成本。
采用“智能硬件防火墻 +流量牽引技術(shù)”,并為用戶配置相對應(yīng)的高防IP,在用戶面臨DDoS攻擊、DoS攻擊時,可精準識別出惡意流量,并將惡意流量引流到高防IP。惡意流量在高防IP上進行清洗、過濾后,高防IP會將正常流量返回給源站IP,從而達到“防御DDoS攻擊、DoS攻擊,保證用戶網(wǎng)站正常穩(wěn)定運行”的目的。