1.、什么是ddos
ddos全名是distributed denial of service,即分布式拒绝服务攻击。它是将多个计算机联合起来作为攻击平台,对一个或多个目标发动dos攻击(dos攻击即为导致服务器拒绝服务的攻击方式),用来堵塞被攻击者上网带宽或者消耗服务器资源的方法,令服务器拒绝响应正常的服务请求,从而使网站无法正常访问。
2.、ddos攻击体系结构
ddos攻击是难以防范的攻击手段之一。我们怎么样来防范ddos攻击呢?我们首先要了解ddos攻击的三个阶段,然后再了解如何将这种攻击的危害降到最低。一个ddos攻击一般分为三个阶段。第一阶段是目标确认:黑客会在互联网上锁定一个网站的ip地址。黑客通过各种手段了解以下信息:被攻击目标主机数目、地址情况;目标主机的配置、性能;目标的带宽。通过上述这三种信息来确定使用多少台傀儡机才能达到攻击效果。
第二个阶段是准备阶段:在这个阶段,黑客会入侵互联网上大量的链路状态好、性能优秀但没有良好防护系统的计算机。黑客可以通过扫描工具进行漏洞扫描,并植入相应的木马程序,或对某些页面插入恶意代码。随后将ddos攻击用的控制程序上载至一台或几台控制傀儡主机上。将ddos攻击使用的发包程序植入大量的攻击傀儡主机上。
第三个阶段是实际攻击阶段:黑客会登录到控制傀儡主机,利用控制傀儡主机上的ddos攻击控制程序向所有的攻击傀儡主机发出命令。所有攻击傀儡主机利用ddos的发包程序,向目标主机发送大量的数据包,直到目标无法处理大量的数据或者频宽被占满为止。
3、分析ddos的攻击方式
我们通过分析防火墙的特定日志,发现很多发送访问请求的来源地址全都是假地址,无法跟踪攻击来源。黑客通过这些傀儡计算机伪造发送攻击数据包的ip地址,并且将攻击目标的ip地址插在数据包的原始地址处,这就是所谓的反射攻击。我们通过安装tcpview软件发现很多访问者是通过tcp访问的半连接,服务器无法对这些半连接进行处理,这种ddos攻击利用tcp和http等协议定义的行为来不断占用服务器资源,包括cpu、缓存、内存、会话连接数等资源,以阻止服务器处理正常事务和请求。因此我们无法通过软件防火墙阻止这种ddos攻击,但是知道了这种攻击的原理,我们就可以通过其他的方式尽量减小这种攻击所带来的影响。
4、如何防止ddos的攻击
入侵过滤(ingress filtering)是一种简单而且所有网络都应该实施的安全策略。在网络边缘(比如每个与外网直接相连的路由器),应该建立一个路由声明,将所有数据来源ip标记为本网地址的数据包丢弃。虽然这种方式并不能防止ddos攻击,但是却可以预防ddos反射攻击。接下来通过运营商让合法服务请求及流量通过,可以将其中一些受攻击情况较轻的路由器恢复正常,只保留承受攻击最重的那个路由器来拒绝攻击来源最大的网段。如果你的isp和对方isp很负责的协助阻挡攻击数据包,你的网络将很快恢复正常。
5、主要采取的措施
ddos攻击很狡猾,也很难预防,但是你可以通过以上方式及时减轻这种攻击对网络的影响。面对攻击,你只需要快速地响应和采取正确的方法,就可以及时发现攻击数据流并将其阻挡。基于目前的技术,采用的主要措施有:关闭服务器不必要的服务和端口;通过ddos软件防火墙限制同时打开的syn半连接数目;缩短syn半连接的time out时间;正确设置防火墙,禁止对主机的非开放服务的访问,限制特定ip地址的访问,启用防火墙的安全策略,严格限制对外开放的服务器的向外访问,运行端口映射,程序端口扫描程序,要认真检查特权端口和非特权端口,记录流量变法的参数值;认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,说明这台机器就有可能遭到了攻击;限制在防火墙外的网络文件共享,通过防火墙对特定的url进行防护;联系运营商将一些攻击频繁的客户端进行自动屏蔽,增大带宽的流量。