AI 助理
备案控制台
开发者社区 安全 文章 正文

深入了解DDOS,也许你的网站可以更安全!

2018-01-24 3361
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。

DDOS攻击是什么,为何会被攻击?
DDoS(Distributed Denial of Service)即分布式拒绝服务攻击。
攻击主要目的是让指定目标无法提供正常服务。是目前最强大、最难防御的攻击之一。
近年出现的DRDoS(分布式反射攻击)让DDoS攻击水平迅速提升,互联网安全被网络暴力所威胁。
攻击的目的:敲诈,同行雇凶攻击,得罪用户报复性攻击。
措施:不要给敲诈者一分钱,应找IDC/ISP商进行防御加固加防,才是以后永久不被人欺负的最好办法。
DDOS的分类
在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。
网络层攻击:
Syn-flood
利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。网上有一些加固的方法,例如调整内核参数的方法,可以减少等待及重试,加速资源释放,在小流量syn-flood的情况下可以缓解,但流量稍大时完全不抵用。防御syn-flood的常见方法有:syn proxy、syn cookies、首包(第一次请求的syn包)丢弃等。
网络层攻击(流量)
ACK-flood
对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。DDOS的一种原始方式。
UDP-flood
使用原始套接字伪造大量虚假源地址的UDP包,目前以DNS协议为主。
ICMP-flood
Ping洪水,比较古老的方式。
CC攻击
ChallengeCollapsar的名字最早源于挑战国内知名安全厂商绿盟的抗DDOS设备-“黑洞”,通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。
互联网的架构追求扩展性本质上是为了提高并发能力,各种SQL性能优化措施:消除慢查询、分表分库、索引、优化数据结构、限制搜索频率等本质都是为了解决资源消耗,而CC大有反其道而行之的意味,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这样就能用最小的攻击资源起到最大的拒绝服务效果。
互联网产品和服务依靠数据分析来驱动改进和持续运营,所以除了前端的APP、中间件和数据库这类OLTP系统,后面还有OLAP,从日志收集,存储到数据处理和分析的大数据平台,当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担。
CC是目前应用层攻击的主要手段之一,在防御上有一些方法,但不能完美解决这个问题。
攻击方式
混合型
在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了TCP和UDP流量,网络层和应用层攻击同时进行。
反射型
真实TCP服务器发送TCP的SYN包,而这些收到SYN包的TCP server为了完成3次握手把SYN|ACK包“应答”给目标地址,完成了一次“反射”攻击,攻击者隐藏了自身,但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包,整个攻击的投资回报率不高。
反射型攻击的本质是利用“质询-应答”式协议,将质询包的源地址通过原始套接字伪造设置为目标地址,则应答的“回包”都被发送至目标,如果回包体积比较大或协议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。
反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。
ddos_

2004年时DRDOS第一次披露,通过将SYN包的源地址设置为目标地址,然后向大量的真实TCP服务器发送TCP的SYN包,而这些收到SYN包的TCP server为了完成3次握手把SYN|ACK包“应答”给目标地址,完成了一次“反射”攻击,攻击者隐藏了自身,但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包,整个攻击的投资回报率不高。
脉冲型
很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。
ddos_1
之所以这样的攻击流行是因为“打-打-停-停”的效果最好,刚触发防御阈值,防御机制开始生效攻击就停了,周而复始。蚊子不叮你,却在耳边飞,刚开灯想打它就跑没影了,当你刚关灯它又来了,你就没法睡觉。
自动化的防御机制大部分都是依靠设置阈值来触发。尽管很多厂商宣称自己的防御措施都是秒级响应,但实际上比较难。
多层防御架构(电信云堤,近源压制)
ddos_
ddos_1

文章标签:
DDoS防护
容器服务Kubernetes版
安全
数据库
网络安全
网络协议
关键词:
DDoS防护安全
DDoS防护网站
九曲idc
目录
相关文章
韩曙亮
|
安全 网络安全 数据安全/隐私保护
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
韩曙亮
1053 0
爱你三千遍斯塔克
|
2月前
|
安全 网络安全
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
爱你三千遍斯塔克
31 0
德迅云安全杨德俊
|
3月前
|
安全 网络安全 调度
游戏行业如何做好安全,避免DDOS攻击
随着网络游戏行业的迅速发展,网络游戏问题也不可忽视,特别是目前网络攻击频发,DDoS攻击的简单化以及普及化,对游戏来说存在非常大的安全威胁。
德迅云安全杨德俊
82 4
真的很搞笑
|
4月前
|
存储 Serverless 网络安全
Serverless 应用引擎产品使用之阿里云函数计算中的Web云函数可以抵抗网站对DDoS攻击如何解决
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
真的很搞笑
75 0
云课程笔记
|
域名解析 人工智能 安全
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
01-基础设施安全-2-DDOS防护-ACA-01-产品功能与核心价值(三)
云课程笔记
121 0
云课程笔记
|
缓存 监控 安全
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
云课程笔记
104 1
01-基础设施安全-2-DDOS防护-ACA-02-产品原理与接入流程(二)
wyn-365
|
域名解析 云安全 弹性计算
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
wyn-365
196 0
阿里云安全ACP认证考试实验之非网站业务如何接入DDos高防IP
士别三日wyx
|
安全 网络协议 网络安全
❤️DDOS攻击详解❤️——万物互联时代的巨大威胁!安全领域最棘手的问题之一
DDOS全称Distributed Denial of Service,翻译成中文是‘分布式拒绝服务’,DDOS攻击是安全领域最难解决的问题之一,由于其攻击方式的特殊性,始终没有一个完美的解决方案,随着万物互联时代的临近,网络设备的数量呈指数型增长,DDOS攻击将会成为一个巨大的威胁!!!
士别三日wyx
306 0
❤️DDOS攻击详解❤️——万物互联时代的巨大威胁!安全领域最棘手的问题之一
网站安全
|
负载均衡 安全 网络协议
网站遭受DDOS攻击如何解决防止被攻击的方案分析
网站、APP,以及服务器每天都会遭受到DDOS流量攻击,据SINE安全统计,目前互联网2019年上半年的流量攻击趋势明显增加,每天接触到的流量攻击事件达到两千多次,与去年的攻击数据相比较有所微上升。国内大部分的网站,APP应用都使用的是阿里云,以及腾讯云,百度云的服务器,通过上述三家公开的一些流量攻击报告,从流量攻击事件,挖矿病毒,僵尸肉鸡,网站篡改攻击事件中,来总结一下今年上半年的DDOS流量攻击的趋势。
网站安全
256 0
网站遭受DDOS攻击如何解决防止被攻击的方案分析
网站安全
|
网络协议 安全 网络安全
如何防御网站被ddos攻击 首先要了解什么是流量攻击
什么是DDOS流量攻击?我们大多数人第一眼看到这个DDOS就觉得是英文的,有点难度,毕竟是国外的,其实简单通俗来讲,DDOS攻击是利用带宽的流量来攻击服务器以及网站。
网站安全
180 0
如何防御网站被ddos攻击 首先要了解什么是流量攻击

热门文章

最新文章

  • 1
    选择DDOS防御的几个关键因素
  • 2
    阿里云:游戏行业DDoS态势报告(2017年上半年)
  • 3
    阿里云DDoS高防 - 访问与攻击日志实时分析(一)
  • 4
    使用Nginx、Nginx Plus抵御DDOS攻击
  • 5
    DDoS攻击走向应用层
  • 6
    Linux下防止ddos攻击(原创)
  • 7
    DDOS攻击常见的类型
  • 8
    Akamai最新网络安全报告:DDoS攻击同比增125%
  • 9
    工作中的一次linux防范ddos攻击
  • 10
    转自Microsoft-DDOS处理参考-如何:强化 TCP/IP 堆栈安全
  • 1
    Serverless 应用引擎产品使用之阿里云函数计算中的Web云函数可以抵抗网站对DDoS攻击如何解决
    75
  • 2
    DDoS攻击愈演愈烈,谈如何做好DDoS防御
    82
  • 3
    解密Nginx限流机制:有效应对DDoS攻击与高并发流量
    354
  • 4
    突发!亚洲游戏行业遭遇史上最大黑客 DDoS 攻击
    159
  • 5
    DDoS攻击升级,解读防御DDoS攻击的几大有效方法
    133
  • 6
    如何通过隐藏服务器真实IP来防御DDOS攻击
    116
  • 7
    一文读懂DDoS,分享防御DDoS攻击的几大有效方法
    112
  • 8
    遭遇DDOS攻击忍气吞声?立刻报警!首都网警重拳出击,犯罪分子无所遁形
    1188
  • 9
    DDoS攻击激增,分享高效可靠的DDoS防御方案
    105
  • 10
    高防服务器、DDOS高防 IP 和高防 CDN该选择哪种好
    109

    • 相关课程

    更多
  • 互联网安全-移动APP漏洞风险与解决方案
  • 网络安全攻防 - Web渗透测试
  • 劫持发现、定位以及解决的最佳实践

    • 相关电子书

    更多
  • 《2019年DDoS攻击态势报告》
  • 浅析WAF防御机制的非主流技术
  • 代码未写,漏洞已出——谈谈设计不当导致的安全问题

    • 相关实验场景

    更多
  • 网站用户流量分析—适用于电商网站、资讯网站、游戏主站等各类Web站点场景
    • 下一篇
    使用OSS上传下载文件