每日一句:
永遠不要停下學習的腳步
生於憂患,而死於安樂 ---《孟子·告子下》
本文內容:
~原理
~被攻擊後的現想
~防禦手段
~總結
一,原理
示例:
我和狗剩同時開了兩家飯館。因爲我的經營策略比較到位,導致我的生意比他做的好,
狗剩心生嫉妒,找了100個混混來搗亂。霸佔座位後就點一杯茶。導致正常客人也無
法就餐,我的店因此營收下降,口碑變差等等。
定義:
這個示例就簡單說清了Ddos。Ddos全稱分佈式拒絕服務攻擊,一般來說是指攻擊者利用“肉雞”對
目標網站在較短的時間內發起大量請求,大規模消耗目標網站的主機資源,讓它無法正常服務。
在線遊戲,互聯網金融等領域是DDOS攻擊的高發行業。
常見原理:
1,利用TCP的三次握手
最常見的DDoS攻擊是利用TCP協議三次握手的缺陷進行的。基於TCP協議的通信在通信之前,首先要協商,這個協商過程就是以三次握手實現的。
正常情況下,客戶端發送一個SYN數據包,說明要進行通信了。服務器收到該SYN包後,迴應一個ACK確認包。客戶端再回應一個確認包。
這樣三次握手就協商完成,下面就會正式進行通信。
當黑客要進行DDoS攻擊時,他會操縱很多殭屍主機向被攻擊的服務器發送SYN數據包,當服務器回覆ACK確認包後,
殭屍主機不再回應,這樣服務器就會保持這個半連接的存在進行等待。每一個這樣的半連接都會耗費服務器的資源,
如果有數量極大的半連接,服務器就會停止正常工作了。
2,基於UDP的攻擊。
UDP是無連接的協議,倘若服務器上開放了漏洞端口,發送大量的無用UDP數據包,
可以很快淹沒該服務器。另外的基於ICMP的DDoS攻擊,也是類似的原理。
二,被攻擊後的現想
~被攻擊主機上有大量等待的TCP連接;
~網絡中充斥着大量的無用的數據包;
~源地址爲假 製造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊;
~利用受害主機提供的傳輸協議上的缺陷反覆高速的發出特定的服務請求,使主機無法處理所有正常請求;
~嚴重時會造成系統死機。
當知道了DDoS攻擊的類型和危害之後,就要有效預防它。
不做好預防,等危害已經造成才發現,則未免已經太晚。
接下來,以基於TCP的DDoS攻擊的預防爲例,簡要闡明。
DDoS攻擊的一大特徵,是突然產生巨大的攻擊流量。藉助流量監控設備,可以及時發現異常流量的突現。
三,防護手段
1,高防機房
拿上邊飯店舉例,高防服務器就是我給店增加了兩名保安,這兩名保安可以讓保護店鋪不受流氓騷擾,
並且還會定期在店鋪周圍巡邏防止流氓騷擾。高防服務器主要是指能獨立硬防禦 50Gbps 以上的服務器,
能夠幫助網站拒絕服務攻擊,定期掃描網絡主節點等,這東西是不錯,就是貴~(畢竟僱人總是要付錢的)。
2,黑名單
面對常來店裏的流氓,我一怒之下將他們拍照入檔,並禁止他們踏入店鋪,
但是有的時候遇到長得像的人也會禁止他進入店鋪。這個就是設置黑名單,
此方法秉承的就是“錯殺一千,也不放一百”的原則,缺點是會封鎖正常流量,影響到正常業務。
3,DDoS 清洗
DDos 清洗,就是我發現客人進店幾分鐘以後,但是一直不點餐,我就讓服務員把他請出店裏。
DDoS 清洗會對用戶請求數據進行實時監控,及時發現DOS攻擊等異常流量,在不影響正常業務開展的情況下清洗掉這些異常流量。
4,CDN加速
爲了減少流氓騷擾,我同時開啓了幾家分店,分店僅僅從總店運輸食品來售賣,自己不製作。這樣狗剩的混混就很難找到我的總店。
混混們費了很大的氣力,也許搞癱瘓的也僅僅是一家無關緊要的分店,而我的商業也會正常不受影響的運行。
在現實中,CDN 服務將網站訪問流量分配到了各個節點中,這樣一方面隱藏網站的真實 IP,
另一方面即使遭遇 DDoS 攻擊,也可以將流量分散到各個節點中,防止源站崩潰。
四,總結
ddos就是攻擊者用大量肉雞去惡意訪問服務器,導致正常業務無法進行。
常見攻擊原理:
~利用TCP三次握手
~基於UDP
防護手段:
~升級本店(即提高帶寬,換高性能服務器)
~僱傭保安(架設高防)
~開設分店鋪(假設cnd)
~培訓服務員(DDos清洗)