防ddos攻擊
專業術語
DDOS是英文Distributed Denial of Service的縮寫,意即“分散式拒絕服務”
DDOS是英文Distributed Denial of Service的縮寫,意即“分散式拒絕服務”,那麼什麼又是拒絕服務(Denial of Service)呢?可以這麼理解,凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻 止合法用戶對正常網路資源的訪問,從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重於 通過很多“殭屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網路包,從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務,分佈 式拒絕服務攻擊一旦被實施,攻擊網路包就會猶如洪水般湧向受害主機,從而把合法用戶的網路包淹沒,導致合法用戶無法正常訪問伺服器的網路資源,因此,拒絕 服務攻擊又被稱之為“洪水式攻擊”,常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能,從而造成拒絕服務,常見 的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDOS攻擊,原因是很難防範,至於DOS攻擊,通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範,後文會詳細介紹怎麼對付DDOS攻擊。
隨著DDOS攻擊在網際網路上的肆虐泛濫,面對各種潛在不可預知的攻擊威脅,維護網路安全已然成為網際網路公民的首要任務。比起最初的簡單DOS,DDOS攻擊表現的是更為分佈、協奏的大規模攻擊陣勢,其破壞性也是前所不及的。這也使得DDOS的防範工作變得更加困難。該採取怎樣的措施進行有效的應對呢?打擊DDOS攻擊主要是以預防為主,下面是以網路安全防範為己任的雲盾網安介紹新推出的雲防禦DDOS安全防護系統的幾大特點:
特點一:多重整合
隨著DDOS惡性攻擊事情的不斷出現,網際網路環境以及網站的安全性問題也在不斷曝光,當前網站的安全處於一種非常脆弱的狀態,未來的DDOS防範工作應從每個運行的關鍵點上層層加深防禦力度,在深諳DDOS的攻擊路數以及規律特點之後,採取相應的措施,將DDOS攻擊所帶來的影響降到最低。
雲盾網安的DDOS雲防禦體系將從6方面給網站帶來安全的防護:高防伺服器、高防智能DNS、高防伺服器集群、集群式防火牆架構、網路監控系統、高防智能路由體系。6個子產品架構智能形成的的多層次、多角度、多結構的終極CC/DDOS防護架構,提供定期掃描監控、骨幹點配置防火牆、合理配置網路設備、入侵過濾等等服務,對於網站每個可能被黑客利用的安全漏洞修復不漏,讓安全問題不再成為網站擔心的因素之一,為用戶提供真正的保障。
特點二:智能防禦
雲盾網安的DDOS雲防禦體系通過網路監控實現定期掃描網路主節點,利用智能DNS解析系統設置監測埠,時刻提防可能存在的安全漏洞,如果一個節點遭受攻擊時將會自動切換至另一節點。在面臨攻擊威脅時,雲盾採用的是較為理想的一種應對策略,以海量的容量和資源拖垮黑客的攻擊,雲盾網安的DDOS雲防禦體系能徹底有效處理超過100G以下SYNFlood、ACKFlood、ICMPFlood、UDPFlood、DNSFlood的DDOS攻擊,並能有效處理連接耗盡、HTTPGetFlood、DNSQueryFlood、CC攻擊等。而面對黑客DDOS攻擊時,雲盾組建的是分散式集群防禦,可根據需求增加節點數量提高防禦力度,宕機檢測系統會快速響應更換已經癱瘓的節點伺服器保證網站正常狀態。還可以把攻擊者發出的數據包全部返回到發送點,使攻擊源變成癱瘓狀態,從而削減攻擊能力。
特點三:自由組合
長久以來,用戶的需求一直是市場的主要推動力。對於不同的運營情況、不同的格局規模,用戶對於網站的安全也提出了層次不同的需求。面對這些細化的個體標準,DDOS防禦服務提供商需要考慮的是如何滿足用戶個性化的需求。鑒於此,雲盾網安的DDOS雲防禦體系【雲盾網安】不是一個強行捆綁的龐大體系,它每一個子產品都互相呼應,又相對獨立。企業可以根據自己的需求情況,單獨購買某一個子產品或者整合一套為自己量身裁衣的解決方案,實現企業系統由繁到簡的瘦身過程。除此之外,雲盾的DDOS防護產品有不同的級別劃分,方便用戶進行自由選擇,防禦體系的級別幅度在8G-100G,為用戶的安全防禦提供堅持的後盾基礎。
阻斷服務
在探討DDoS 之前我們需要先對 DoS 有所了解,DoS泛指黑客試圖妨礙正常使用者使用網路上的服務,例如剪斷大樓的電話線路造成用戶無法通話。而以網路來說,由於頻寬、網路設備和伺服器主機 等處理的能力都有其限制,因此當黑客產生過量的網路封包使得設備處理不及,即可讓正常的使用者無法正常使用該服務。例如黑客試圖用大量封包攻擊一般頻寬相 對小得多的撥接或 ADSL 使用者,則受害者就會發現他要連的網站連不上或是反應十分緩慢。
DoS 攻擊並非入侵主機也不能竊取機器上的資料,但是一樣會造成攻擊目標的傷害,如果攻擊目標是個電子商務網站就會造成顧客無法到該網站購物。
分散式阻斷服務
DDoS 則是 DoS 的特例,黑客利用多台機器同時攻擊來達到妨礙正常使用者使用服務的目的。黑客預先入侵大量主機以後,在被害主機上安裝 DDoS 攻擊程式控制被害主機對攻擊目標展開攻擊;有些 DDoS 工具採用多層次的架構,甚至可以一次控制高達上千台電腦展開攻擊,利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年就發生過針對 Yahoo, eBay, Buy和 CNN 等知名網站的DDoS攻擊,阻止了合法的網路流量長達數個小時。
DDoS 攻擊程序的分類,可以依照幾種方式分類,以自動化程度可分為手動、半自動與自動攻擊。早期的 DDoS 攻擊程序多半屬於手動攻擊,黑客手動尋找可入侵的計算機入侵併植入攻擊程序,再下指令攻擊目標;半自動的攻擊程序則多半具有 handler 控制攻擊用的agent 程序,黑客散布自動化的入侵工具植入 agent 程序,然後使用 handler 控制所有agents 對目標發動 DDoS 攻擊;自動攻擊更進一步自動化整個攻擊程序,將攻擊的目標、時間和方式都事先寫在攻擊程序里,黑客散布攻擊程序以後就會自動掃描可入侵的主機植入 agent 並在預定的時間對指定目標發起攻擊,例如W32/Blaster 網蟲即屬於此類。
若以攻擊的弱點分類則可以分為協議攻擊和暴力攻擊兩種。協議攻擊是指黑客利用某個網路協議設計上的弱點或執行上的 bug 消耗大量資源,例如 TCP SYN 攻擊、對認證伺服器的攻擊等;暴力攻擊則是黑客使用大量正常的聯機消耗被害目標的資源,由於黑客會準備多台主機發起 DDoS 攻擊目標,只要單位時間內攻擊方發出的網路流量高於目標所能處理速度,即可消耗掉目標的處理能力而使得正常的使用者無法使用服務。
若以攻擊頻率區分則可分成持續攻擊和變動頻率攻擊兩種。持續攻擊是當攻擊指令下達以後,攻擊主機就全力持續攻擊,因此會瞬間產生大量流量阻 斷目標的服務,也因此很容易被偵測到;變動頻率攻擊則較為謹慎,攻擊的頻率可能從慢速漸漸增加或頻率高低變化,利用這樣的方式延緩攻擊被偵測的時間。
從DDoS攻擊下存活
那麼當遭受 DDoS 攻擊的時候要如何設法存活並繼續提供正常服務呢?由先前的介紹可以知道,若黑客攻擊規模遠高於你的網路頻寬、設備或主機所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調查攻擊來源,由於黑客經由入侵機器進行攻擊,因此你可能無法查出黑客是由哪裡發動攻擊,我們必須一步一步從被攻擊目標往回推,先調 查攻擊是由管轄網路的哪些邊界路由器進來,上一步是外界哪台路由器,連絡這些路由器的管理者(可能是某個ISP或電信公司)並尋求他們協助阻擋或查出攻擊 來源,而在他們處理之前可以進行哪些處理呢?
如果被攻擊的目標只是單一 ip,那麼試圖改個 ip 並更改其 DNS mapping 或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務,更改ip的方式雖然避開攻擊,以另一角度來看黑客也達到了他 的目的。此外,如果攻擊的手法較為單純,可以由產生的流量找出其規則,那麼利用路由器的 ACLs(Access Control Lists)或防火牆規則也許可以阻擋,若可以發現流量都是來自同一來源或核心路由器,可以考慮暫時將那邊的流量擋起來,當然這還是有可能將正常和異常的 流量都一併擋掉,但至少其它來源可以得到正常的服務,這有時是不得已的犧牲。如果行有餘力,則可以考慮增加機器或頻寬作為被攻擊的緩衝之用,但這只是治標 不治本的做法。最重要的是必須立即著手調查並與相關單位協調解決。
預防DDoS攻擊
DDoS 必須透過網路上各個團體和使用者的共同合作,制定更嚴格的網路標準來解決。每台網路設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防 毒和防火牆軟體、隨時注意系統安全,避免被黑客和自動化的 DDoS 程序植入攻擊程序,以免成為黑客攻擊的幫凶。
有些 DDoS 會偽裝攻擊來源,假造封包的來源 ip,使人難以追查,這個部份可以透過設定路由器的過濾功能來防止,只要網域內的封包來源是其網域以外的 ip,就應該直接丟棄此封包而不應該再送出去,如果網管設備都支持這項功能,網管人員都能夠正確設定過濾掉假造的封包,也可以大量減少調查和追蹤的時間。
網域之間保持聯絡是很重要的,如此才能有效早期預警和防治 DDoS 攻擊,有些 ISP會在一些網路節點上放置感應器偵測突然的巨大流量,以提早警告和隔絕 DDoS 的受害區域,降低顧客的受害程度。
最有效的防護辦法
通過隱藏源IP方式可以實現,前提是要先找一個高防的盾機,再把IP隱藏起來。我以前給好多客戶都是這樣做的,非常有效可以防下20G的大量攻擊,但前提是需要一台伺服器,具體怎麼實現,隨時聯繫交流技術心得