DDoS攻击概念
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。(详情点击DoS拒绝服务攻击)
DDOS全名是Distribution Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。若理解了DoS攻击的话,它的原理就很简单。如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接。
网络中充斥着大量的无用的数据包,源地址为假。
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。
严重时会造成系统死机。
如何防止和减少DDOS攻击的危害
预防为主保证安全,DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描安全漏洞
(2)在骨干节点配置防火墙
(3)用足够的机器承受黑客攻击
(4)充分利用网络设备保护网络资源
(5)过滤不必要的服务和端口
(6)检查访问者的来源
(7)过滤所有RFC1918 IP地址
(8)限制SYN/ICMP流量
寻找机会应对攻击
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
参考:
DoS拒绝服务攻击
http://www.itale.cn/archives/2009/5/20090513222456.html