盡管大型網(wǎng)站經(jīng)常受到攻擊��,并且在超負荷的負載下��,這些公司和網(wǎng)絡(luò )仍然要竭盡所能地去轉移這些攻擊���,而且重要是要保持他們的網(wǎng)站能夠正常地瀏覽�。即便你管理的是一個(gè)小站點(diǎn)�����,比如小公司或者小型網(wǎng)站這種規模的網(wǎng)絡(luò )��,你不知道什么時(shí)候就有人會(huì )對你下黑手����。那么接下來(lái)�,讓我們大連網(wǎng)站建設公司帶您去看看DDOS"背后"的一些細節和攻擊方式��,以便于我們能夠讓我們的網(wǎng)絡(luò )更加地安全�����。
多種攻擊類(lèi)型
用pING命令就可以執行操作ICMp請求�����,這個(gè)請求非常容易造成網(wǎng)絡(luò )堵塞��。DDOS攻擊可以通過(guò)多種途徑來(lái)完成�,ICMp也只是其中之一����。
此外�,有一種Syn攻擊�,發(fā)動(dòng)這種攻擊時(shí)���,實(shí)際上僅僅是打開(kāi)了一個(gè)TCp鏈接�����,之后通常會(huì )連接到一個(gè)網(wǎng)站上���,但關(guān)鍵是��,這個(gè)操作并沒(méi)有完成初始握手�,就離開(kāi)了掛靠的服務(wù)器���。
另一種聰明的做法是使用DNS�����。有很多網(wǎng)絡(luò )供應商都有自己的DNS服務(wù)器�����,而且允許任何人進(jìn)行查詢(xún)�,甚至有些人都不是他們的客戶(hù)�����。并且一般DNS都使用UDp�,UDp是一種無(wú)連接的傳輸層協(xié)議��。有了以上兩個(gè)條件作為基礎����,那些攻擊者就非常容易發(fā)動(dòng)一場(chǎng)拒絕服務(wù)攻擊����。所有攻擊者要做的就是找到一個(gè)開(kāi)放的DNS解析器�,制作一個(gè)虛擬UDp數據包并偽造一個(gè)地址���,對著(zhù)目標網(wǎng)站將其發(fā)送到DNS服務(wù)器上面��。當服務(wù)器接收到攻擊者發(fā)送的請求��,將會(huì )信以為真��,并且向偽造地址發(fā)送請求回應�。事實(shí)上是目標網(wǎng)站接收了互聯(lián)網(wǎng)上一群開(kāi)放的DNS解析器的請求與回復�����,從而代替了僵尸網(wǎng)絡(luò )的攻擊��。另外�����,這類(lèi)攻擊具有非常大的伸縮性�����,因為你可以給DNS服務(wù)器發(fā)送一種UDp數據包����,請求某一側的轉存�����,造成一個(gè)大流量的回應���。
DDOS攻擊的多種途徑
拒絕服務(wù)曾經(jīng)是一種非常簡(jiǎn)單的攻擊方式�����。有些人開(kāi)始在他們的電腦上運行pING命令��,鎖定目標地址��,讓其高速運轉�,試圖向另一端發(fā)送洪水般的ICMp請求指令或者數據包����。當然���,因為這邊發(fā)送速度的改變�����,攻擊者需要一個(gè)比對方站點(diǎn)更大的帶寬���。先�,他們會(huì )搬到有大型主機的地方��,類(lèi)似有大學(xué)服務(wù)器或者教研所那樣的大型帶寬的地方����,然后從這里發(fā)出攻擊���。但現代的僵尸網(wǎng)絡(luò )在任何情況下幾乎都能使用���,相對來(lái)說(shuō)它的操作更簡(jiǎn)單���,使攻擊完全分布開(kāi)來(lái)����,顯得更加隱蔽�。
事實(shí)上����,因為惡意軟件的制造者��,僵尸網(wǎng)絡(luò )的運營(yíng)已經(jīng)成為了一條鮮明的產(chǎn)業(yè)鏈���。實(shí)際他們已經(jīng)開(kāi)始出租那些肉機����,并且按小時(shí)收費�。如果有人想要搞垮一個(gè)網(wǎng)站��,只要給這些攻擊者付夠錢(qián)�����,然后就會(huì )有成千上萬(wàn)的僵尸電腦去攻擊那個(gè)網(wǎng)站���。一臺受感染的電腦或許無(wú)法把一個(gè)站點(diǎn)搞垮�����,但若是有10000臺以上的電腦同時(shí)發(fā)送請求����,它們會(huì )將把未受保護的服務(wù)器"塞滿(mǎn)"����。
如何保護你的網(wǎng)絡(luò )
正如你所見(jiàn)��,DDOS攻擊五花八門(mén)�,防不勝防���,當你想建立一個(gè)防御系統對抗DDOS的時(shí)候�����,你需要掌握這些攻擊的變異形態(tài)���。
笨的防御方法����,就是花大價(jià)錢(qián)買(mǎi)更大的帶寬����。拒絕服務(wù)就像個(gè)游戲一樣����。如果你使用10000個(gè)系統發(fā)送1Mbps的流量�,那就意味著(zhù)你輸送給你的服務(wù)器每秒鐘10Gb的數據流量�。這就會(huì )造成擁堵��。這種情況下��,同樣的規則適用于正常的冗余���。這時(shí)���,你就需要更多的服務(wù)器��,遍布各地的數據中心�����,和更好的負載均衡服務(wù)了�����。將流量分散到多個(gè)服務(wù)器上�����,幫助你進(jìn)行流量均衡�,更大的帶寬能夠幫你應對各種大流量的問(wèn)題����。但現代的DDOS攻擊越來(lái)越瘋狂����,需要的帶寬越來(lái)越大��,你的財政狀況根本不允許你投入更多的資金����。另外�����,絕大多數的時(shí)候����,你的網(wǎng)站并不是主要攻擊目標��,很多管理員都忘了這一點(diǎn)��。
網(wǎng)絡(luò )中關(guān)鍵的一塊就是DNS服務(wù)器����。將DNS解析器處于開(kāi)放狀態(tài)這是絕對不可取的�����,你應當把它鎖定��,從而減少一部分攻擊風(fēng)險�。但這樣做了以后����,我們的服務(wù)器就安全了嗎����?答案當然是否定的�����,即使你的網(wǎng)站���,沒(méi)有一個(gè)可以鏈接到你的DNS服務(wù)器��,幫你解析域名����,這同樣是非常糟糕的事情���。大多數完成注冊的域名需要兩個(gè)DNS服務(wù)器���,但這遠遠不夠�����。你要確保你的DNS服務(wù)器以及你的網(wǎng)站和其他資源都處于負載均衡的保護狀態(tài)下�����。你也可以使用一些公司提供的冗余DNS�����。比如��,有很多人使用內容分發(fā)網(wǎng)絡(luò )(分布式的狀態(tài))給客戶(hù)發(fā)送文件����,這是一種很好的抵御DDOS攻擊的方法��。若你需要��,也有很多公司提供了這種增強DNS的保護措施���。
若是你自己管理你的網(wǎng)絡(luò )和數據���,那么就需要著(zhù)重保護你的網(wǎng)絡(luò )層�����,要進(jìn)行很多配置�。先確保你所有的路由器都能夠屏蔽垃圾數據包�,剔除掉一些不用的協(xié)議����,比如ICMp這種的���。然后設置好防火墻��。很顯然�����,你的網(wǎng)站永遠不會(huì )讓隨機DNS服務(wù)器進(jìn)行訪(fǎng)問(wèn)��,所以沒(méi)有必要允許UDp 53端口的數據包通過(guò)你的服務(wù)器����。此外��,你可以讓你的供應商幫你進(jìn)行一些邊界網(wǎng)絡(luò )的設置���,阻止一些沒(méi)用的流量����,保證你能夠得到一個(gè)大的通暢的帶寬���。很多網(wǎng)絡(luò )供應商都給企業(yè)提供這種服務(wù)��,你可以與其網(wǎng)絡(luò )運營(yíng)中心聯(lián)系��,讓他們幫你優(yōu)化流量��,幫你監測一下你是否到了攻擊���。
類(lèi)似Syn的攻擊�����,也有很多方法來(lái)阻止�����,比如通過(guò)給TCp積壓�����,減少Syn-Receive定時(shí)器��,或者使用Syn緩存等等��。
后�����,你還得想想如何在這些攻擊到達你網(wǎng)站前就將它們攔截住�����。例如��,現代網(wǎng)站應用了許多動(dòng)態(tài)資源���。在受到攻擊的時(shí)候其實(shí)帶寬是比較容易掌控的��,但終往往受到損失的是數據庫或是你運行的腳本程序�����。你可以考慮使用緩存服務(wù)器提供盡可能多的靜態(tài)內容��,還要快速用靜態(tài)資源取代動(dòng)態(tài)資源并確保檢測系統正常運行�����。
糟糕的一種情況就是你的網(wǎng)絡(luò )或站點(diǎn)完全癱瘓了��,你應該在攻擊剛剛開(kāi)始的時(shí)候就做好預備方案����。因為攻擊一旦開(kāi)始��,想要從源頭阻止DDOS是非常困難的��。后��,你應該好好琢磨琢磨如何讓你的基礎建設更加合理與安全����,并且要著(zhù)重注意你的網(wǎng)絡(luò )設置�����。這些都是非常重要的����。
以上就是我們大連網(wǎng)站建設公司教您的如何應對DDOS的攻擊的方法���,看完以上的內容您是不是對如何應對DDOS的攻擊已經(jīng)有了一定的了解了呢�?
