凡是能导致合法用户不能够正常访问网络服务的攻击行为,都算是“拒绝服务攻击”。也就是说“拒绝服务攻击”的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者某种不可告人的目的。
拒绝服务攻击,即攻击者想办法让目标机器停止提供正常服务或资源访问,这些资源包括CPU、内存,甚至网络带宽。攻击者通过发动攻击占用大量有效资源,拥塞网络带宽,从而阻止正常合法用户的访问。
天下数据
一、 攻击原理
DDoS攻击和DoS攻击虽然同样是“拒绝服务攻击”,但还是有所不同。DDoS(分布式拒绝服务)的攻击策略,侧重于通过很多“肉鸡”(被攻击者入侵控制或可间接利用的主机)向受害主机发送大量看似合法的网络数据包,造成网络拥塞或服务器资源耗尽而导致拒绝服务。
天下数据
分布式拒绝服务攻击一旦被实施,攻击的网络数据包就会犹如洪水般涌向受害主机,从而把合法用户的网络数据包淹没,导致合法用户无法正常访问服务器的网络资源,因此,“分布式拒绝服务攻击”(DDoS攻击)又被称之为“洪水式攻击”。常见的 DDoS攻击手段有:TCP—SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Proxy Flood 等。
DoS攻击则侧重于通过对主机特定漏洞的利用攻击,导致网络栈失效、系统崩溃、主机宕机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DoS攻击手段有TearDrop攻击、 Land攻击等。
就这两种“拒绝服务攻击”而言,危害较大的主要是DDoS攻击,原因是DDoS攻击难以防范;至于DoS攻击,通过给服务器打补丁或安装防火墙软件,就可以起到很好地防范作用。DDoS攻击的表现形式主要有两种,一种为流量攻击,主要是针对主机的网络带宽进行攻击,即发送大量的攻击包导致网络带宽被阻塞,而合法的网络包被虚假的攻击包淹没因此无法到达主机;另一种为资源耗尽攻击,主要是针对服务器的攻击,即通过大量攻击包导致主机的内存被耗尽,或CPU内核被占用完,导致无法提供正常的网络服务。
天下数据
二、 如何判断网站是否遭受了DDoS的流量攻击或资源耗尽攻击?
判断网站是否遭受了DDoS的流量攻击?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则有可能是遭受了流量攻击;若此时还发现,和你的主机接在同一交换机上的服务器也访问不了,基本上可以确定是遭受了流量攻击。当然,这样测试的前提是ICMP 协议没有被路由器和防火墙等网络设备屏蔽,否则也可以采取 Telnet(远程登录)服务器的网络服务端口来测试,效果也是一样的。
不过有一点是可以肯定的,假如平时Ping你的服务器和接在同一交换机上的服务器都是正常的,突然间都Ping不通了或者是严重丢包,如果可以排除是网络故障因素的话,则肯定是遭受了流量攻击。遭受了流量攻击的典型现象是,一旦遭受了此类攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,突然间发现网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能是遭受了资源耗尽攻击。此时若在服务器上用“Nistat -na命令”观察到有大量的“SYN_RECEIVED”、“TIME_WAIT”、“FIN_WAIT_1” 等状态存在的话,而established(已确立的)状态很少,则可以判定肯定是遭受了资源耗尽攻击。
还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己主机在同一交换机上的服务器则正常,造成这种现象的原因是网站主机遭受攻击后,导致系统内核或某些应用程序CPU利用率达到100%,从而无法回应 Ping 命令。这种情况下,网络带宽还是有的,否则你就Ping不通接在同一交换机上的服务器了。
三、 针对DDoS和DoS这两种拒绝服务攻击的防御措施
总体来说,针对DDoS和DoS攻击的防范,主要可以从以下几个方面出发:
1、 尽可能对系统打上最新补丁,并采取有效的合规性配置,降低漏洞利用风险;
2、采取合适的安全域划分,配置防火墙、IDS(入侵检测系统)和IPS(入侵防御系统),以此减缓攻击;
3、采用“分布式组网、负载均衡、提升系统容量”等可靠性措施,来增强主机的总体服务能力。
另外,分享一些可重点参考的防御措施如下:
1、 采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择“路由器、交换机、硬件防火墙”等网络设备的时候,要尽量选用知名度高、口碑好的产品。再者就是,如果和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生时,请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。
2、 尽量避免NAT(网络地址转换)的使用
无论是路由器还是硬件防火墙,都要尽量避免NAT(网络地址转换)的使用,因为使用此技术会较大降低网络通信能力。其实原因很简单,因为NAT需要对地址进行来回转换,转换过程中需要对网络包进行校验和计算,因此浪费了很多时间。但有些时候必须使用NA T,那就没有办法了。
3、 拥有充足的网络带宽保证
网络带宽直接决定了能抵抗和承受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗例如SYN Flood攻击。因此必须保证服务器拥有充足的网络带宽,来应对一定规模和流量的攻击。
4、 升级服务器的硬件配置
在有充足网络带宽保证的前提下,请尽量提升服务器的硬件配置。若要有效对抗DDoS攻击,起关键作用的主要是CPU和内存。CPU可选择英特尔(intel)新一代至强系列的高性能CPU,内存则要选择DDR4的高速内存。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高防御DDoS攻击的能力,还能给黑客入侵带来不少麻烦,至少到为止关于HTML的溢出还没出现。如果你需要动态脚本调用,那就把它弄到另外一台单独的主机上去,免得遭受攻击时连累主服务器。此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,很多经验表明使用代理访问你网站的,80%属于恶意行为。
天下数据为用户提供专业抗DDoS攻击、DoS攻击、CC攻击的高防服务器、高防香港服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点与优势,能够更加精准有效地防御DDoS攻击、DoS攻击和CC攻击,真正做到了降低用户的防御成本。