資源描述:
《小型商務(wù)網(wǎng)站如何應(yīng)對(duì)ddos攻擊》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、窗廣州英才網(wǎng)020.job1001.com
2、YLXXNxom小型商務(wù)網(wǎng)站如何應(yīng)對(duì)DDoS攻擊DDoS(DistributedDenialofService,分布式拒絕服務(wù)攻擊),俗稱洪水攻擊。是在傳統(tǒng)的DoS攻擊基礎(chǔ)Z上產(chǎn)牛的新的破壞力更強(qiáng)的攻擊方式。分布式拒絕服務(wù)攻擊是指借助于客戶/服務(wù)器技術(shù),將多個(gè)甚至幾十萬個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)H標(biāo)發(fā)動(dòng)DoS攻擊,從而成倍地提高了攻擊的威力。DDoS帶來的破壞是巨人的,你無法阻止黑客對(duì)你的網(wǎng)站發(fā)動(dòng)DDoS攻擊,除非主動(dòng)斷開Internet連
3、接。如果我們無法防止這種攻擊,那么,怎樣做才能故大限度地保護(hù)我們的企業(yè)網(wǎng)絡(luò)呢?1、了解DDoS攻擊當(dāng)前主要有三種流行的DDoS攻擊:1.1SYN/ACKFIood攻擊這種攻擊方法是經(jīng)典最有效的DDoS方法,可攻擊各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù),由-丁源IP和源端口都是偽造的,故追蹤起來比較困難。其缺點(diǎn)是實(shí)施起來有一定難度,需耍高帶寬的僞尸主機(jī)支持。1.2TCP全連接攻擊TCP全連接攻擊就是通
4、過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量的TCP連接,直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨,從而造成拒絕服務(wù),這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的,缺點(diǎn)是需要找很多僵尸主機(jī),并且山于僵尸主機(jī)的IP是暴露的,因此容易被追蹤。1.3刷Script腳木攻擊這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用MSSQLServer、MySQLServer>Oracle等數(shù)據(jù)庫(kù)的網(wǎng)詁系統(tǒng)而設(shè)計(jì)的,特征是和服務(wù)器建立止常的TCP連接,并不斷地向腳木程序提交查詢、列表等大量耗費(fèi)數(shù)
5、據(jù)庫(kù)資源的調(diào)川,典型的以小I専大的攻擊方法。常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫(kù)失敗、數(shù)據(jù)庫(kù)主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù),輕松找一些Proxy代理就可實(shí)施攻擊,缺點(diǎn)是對(duì)付只有靜態(tài)頁而的網(wǎng)站效果會(huì)大打折扣,并且有些Proxy會(huì)暴需攻擊者的IP地址。2、發(fā)現(xiàn)DDoS攻擊根據(jù)以下異?,F(xiàn)象在網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)建立相應(yīng)規(guī)則,能夠較準(zhǔn)確地監(jiān)測(cè)出DDoS攻窗廣州英才網(wǎng)YLXXNxom020.job1001?corn(1)根據(jù)分析,攻擊者在進(jìn)行DDoS攻擊
6、前總要解析目標(biāo)的主機(jī)名,BIND域名服務(wù)器能夠記錄這些請(qǐng)求。由于每臺(tái)攻擊服務(wù)器在進(jìn)行一個(gè)攻擊前會(huì)發(fā)出PTR反向查詢請(qǐng)求,也就是說在DDoS攻擊前域名服務(wù)器會(huì)接收到大量的反向解析H標(biāo)IP主機(jī)名的PTR杳詢請(qǐng)求。(2)當(dāng)DDoS攻擊一個(gè)站點(diǎn)時(shí),會(huì)出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時(shí)的極限通訊流量的現(xiàn)象?,F(xiàn)在的技術(shù)能夠分別對(duì)不同的源地址計(jì)算出對(duì)應(yīng)的極限值。當(dāng)明顯超出此極限值時(shí),就表明存在DDoS攻擊的通訊。因此,可以在主干路山器端建立ACL訪問控制規(guī)則以監(jiān)測(cè)和過濾這些通訊。(3)特人型的ICP和UDP數(shù)據(jù)包。正常
7、的UDP會(huì)話一般都使川小的UDP包,通常有效數(shù)據(jù)內(nèi)容不超過10字節(jié)。正常的ICMP消息也不會(huì)超過64釦28字節(jié)。那些尺寸明顯人得多的數(shù)據(jù)包很有可能就是控制信息通訊用的,主要含佇加密后的口標(biāo)地址和一些命令選項(xiàng)。一旦捕獲到(沒有經(jīng)過偽造的)控制信息通訊,DDoS服務(wù)器的位置就暴露出來了,因?yàn)榭刂菩畔⑼ㄓ崝?shù)據(jù)包的目標(biāo)地址是沒有偽造的。(4)不屬于止常連接通訊的TCP和UDP數(shù)據(jù)包。最隱蔽的DDoS工具隨機(jī)使用多種通訊協(xié)議(包括基于連接的協(xié)議)通過基于尤連接通道發(fā)送數(shù)據(jù)。優(yōu)秀的防火墻和路山規(guī)則能夠發(fā)現(xiàn)這些數(shù)
8、據(jù)包。另外,那些連接到高于1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。(5)數(shù)據(jù)段內(nèi)容只包含文字和數(shù)字字符(例如,沒有空格、標(biāo)點(diǎn)和控制字符)的數(shù)據(jù)包。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會(huì)含有BASE64字符集字符的特征。TFN2K發(fā)送的控制信息數(shù)據(jù)包就是這種類型的數(shù)據(jù)包。TFN2K(及其變種)的特征模式是在數(shù)據(jù)段中有一串A字符(AAA),這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。如果沒有使用BASE64編碼,對(duì)于使用了加密算法數(shù)據(jù)包,這個(gè)連續(xù)的字符就是“”。(6)數(shù)據(jù)段內(nèi)
9、容只包含二進(jìn)制和high-bit字符的數(shù)據(jù)包。雖然此時(shí)可能在傳輸二進(jìn)制文件,但如果這些數(shù)據(jù)包不屬于止常有效的通訊時(shí),可以懷疑止在傳輸?shù)氖菦]有被BASE64編碼但經(jīng)過加密的控制信息通訊數(shù)據(jù)包(如果實(shí)施這種規(guī)則,必須將20、21、80等端口上的傳輸排除在外)。3、應(yīng)對(duì)DDoS攻擊當(dāng)遭受DDoS攻擊的時(shí)候要如何設(shè)法存活并繼續(xù)提供正常服務(wù)呢?山前而的介紹可以知道,若黑客攻擊規(guī)模遠(yuǎn)髙于你的網(wǎng)絡(luò)頻寬、設(shè)備或主機(jī)所能處理的能力,其實(shí)是很難反抗攻擊的,但仍然有一些方法可以減輕攻擊所造