DDOS专题详细讲解

本文涉及的产品
云防火墙,500元 1000GB
简介:

一、 DDos攻击原理 
DDOS是英文Distributed Denial of Service的缩写,即“分布式拒绝服务”,DDoS攻击原理大致分为以下三种: 
1.通过发送大的数据包堵塞服务器带宽造成服务器线路瘫痪; 
2.通过发送特殊的数据包造成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪; 
3.通过标准的连接建立起连接后发送特殊的数据包造成服务器运行的网络服务软件耗费CPU内存最终瘫痪(比如WEB SERVER、FTP SERVER、 游戏服务器等)。

二、 DDoS攻击种类可以分为以下几种:

由于肉鸡的木马可以随时更新攻击的数据包和攻击方式,所以新的攻击更新非常快这里我们介绍几种常见的攻击的原理和分类 
1、SYN变种攻击 
发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节,这种攻击会造成一些防火墙处理错误导致锁死,消耗服务器CPU内存的同时还会堵塞带宽。 
2、TCP混乱数据包攻击 
发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误导致锁死,消耗服务器CPU内存的同时还会堵塞带宽。 
3、针对UDP协议攻击 
很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截, 
4、针对WEB Server的多连接攻击 
通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封 
5、针对WEB Server的变种攻击 
通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过 限制每个连接过来的IP连接数进行防护的方法就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案 
6、针对WEB Server的变种攻击 
通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议 的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M ,所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有GET字符的 数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案 
7、针对游戏服务器的攻击 
因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口 7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这 里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。 
三、DDoS防护基本方法: 
1、.关闭不必要的服务

1.Alerter[通知选定的用户和计算机管理警报]

2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]

3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享

4.Distributed Link Tracking Server[适用局域网分布式链接]

6.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]

7.Messenger[警报]

8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]

9.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]

10.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]

11.Remote Desktop Help Session Manager[管理并控制远程协助]

12.Remote Registry[使远程计算机用户修改本地注册表]

13.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]

14.Server[支持此计算机通过网络的文件、打印、和命名管道共享]

15.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]

16.Telnet[允许远程用户登录到此计算机并运行程序]

17.Terminal Services[允许用户以交互方式连接到远程计算机]

18.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]

2、数据包的连接数从缺省值128或512修改为2048或更大,以加长每次处理数据包队列的长度,以缓解和消化更多数据包的连接;

3、将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包

4、及时更新系统、安装补丁

5、用负载均衡技术,就是把应用业务分布到几台不同的服务器上

6、流量牵引技术,大流量攻击最理想防御方法,但一般是专业硬件防火墙,价格昂贵。

四、 判断网站被DDoS了的表现形式

1、被攻击主机上有大量等待的TCP连接,用netstat -an命令可看到

2、ping 服务器出现丢包严重,或无法ping通.

3、CPU占用率很高,有时候甚至达到100%,严重时会出现蓝屏死机死机(这种是CC攻击最常见的现象).

4、连接3389时,晌应很慢或提示计算机太忙,无法接受新连接.

5、网络中充斥着大量的无用的数据包,源地址为假.

五、受到DDOS攻击的应急处理

1、如有富余的IP资源,可以更换一个新的IP地址,将网站域名指向该新IP;

2、停用80端口,使用如81或其它端口提供HTTP服务,将网站域名指向IP:81

六、防御DDOS的建议

1、采用高性能的网络设备

2、充足的网络带宽保证

3、安装专业抗DDOS防火墙

如:冰盾防火墙、金盾防火墙、黑洞防火墙、傲盾防火墙

七、实战配置冰盾防火墙防DDOS与CC攻击

测试环境:WEB服务器一台,开放80端口,IP地址:192.168.2.250,安装冰盾防火墙最新版和DDOS攻击监控器。DDOS服务器一台并且参于攻击,IP地址:192.168.2.252,DDOS压力测试软件为绉式网络DDOS压力测试2009。肉鸡一台,IP地址:192.168.2.249。

测试一、UDP攻击:

两台肉鸡在线

clip_image002

没有启用防火墙效果如下,流量达到36M,两台肉鸡产生的流量

clip_image004

clip_image006

启用防火墙,设定UDP包最大为512字节

clip_image008

流量就很小,几乎没有。

clip_image010

测试二、“TCP并发连接”攻击

没有启用防火墙效果如下,流量达到2.2M,两台肉鸡产生的流量,并且有大量的TCP连接

clip_image012

clip_image014

启用防火墙,并且设定相应规则

clip_image016

clip_image018

日志显示IP地址被过屏蔽,TCP连接也没有用

clip_image020

clip_image022

测试三、ICMP攻击:

没有启用防火墙效果如下,流量达到5.8M,两台肉鸡产生的流量,并且有大量的ICMP包

clip_image024

clip_image026

clip_image028

clip_image030

测试四、SYN攻击

启用防火墙效果如下,收有大量SYN网络包,没有流量。

clip_image032

关闭防火墙效果如下,流量一下子就到了近3M,只一台肉鸡攻击。

clip_image034

测试五、CC攻击

没用启用防火墙,收到大量的SYN和ACK包,两台肉鸡流量达近12M,大量的TCP连接

clip_image036

clip_image038

clip_image040

启用防火墙后,恢复正常

clip_image042

本文转自成功不仅是个人荣誉,更是对家人责任博客51CTO博客,原文链接http://blog.51cto.com/hukunlin/337584如需转载请自行联系原作者


kunlin_hu

相关文章
|
1月前
|
负载均衡 安全 网络协议
DDOS攻击与防护
DDoS攻击通过大量合法请求占用目标服务器资源,导致正常用户无法访问。常见类型包括洪水攻击(如SYN Flood和UDP Flood)和放大攻击。其危害包括服务中断、经济损失及数据泄露。防护措施涵盖网络层面(流量清洗、带宽扩容、负载均衡)、系统层面(优化配置、安装防护软件、更新补丁)和应用层面(验证码、限速策略、动态IP封禁)。
130 1
|
3月前
|
SQL 运维 监控
WAF如何防御常见攻击?
【8月更文挑战第16天】
155 1
|
3月前
|
监控 安全 网络安全
防止 DDOS 攻击的7个技巧
防止 DDOS 攻击的7个技巧
622 0
|
5月前
|
网络协议 安全 网络安全
DDoS
【6月更文挑战第16天】
57 8
|
5月前
|
弹性计算 负载均衡 监控
DDoS 攻击与防御技术
DDOS攻击一直是互联网通讯的一大诟病,它跟互联网通讯方式相互依存,下面介绍一些关于防ddos攻击的方案和想法。
208 4
|
6月前
|
应用服务中间件 网络安全 nginx
阿里云Ddos高防配置事故分享
阿里云Ddos高防配置事故分享
|
网络协议 网络安全
什么是 DDos 攻击?
什么是 DDos 攻击?
|
弹性计算 人工智能 监控
DDoS防护产品知识总结
本文结合个人对阿里云DDoS防护产品及文档的学习,总结了产品相关知识,方便需要使用本产品的开发者、用户参考。
363 0
DDoS防护产品知识总结
|
域名解析 网络协议 网络安全
高防IP是怎么防御DDOS攻击的?
如果网络攻击者要对目标发起恶意攻击,是先需要知道目标的具体IP地址,在获取了目标的具体IP后,针对这个IP,就会发起攻击,使用大量无效流量数据向该服务器提交请求,从而导致服务器资源耗尽,无法对正确的请求做出响应。与此同时,大量的无效数据还会占用服务器的带宽资源,造成业务卡顿甚至瘫痪。而DDoS高防IP原理是,就是在DDoS遭遇恶意攻击流量时,接入高防IP进行清洗再回源到服务器,确保源站的稳定正常运行。
|
域名解析 监控 网络安全
什么是高防服务器?如何搭建DDOS流量攻击防护系统
关于高防服务器的使用以及需求,从以往的联众棋牌到目前发展迅猛的手机APP棋牌,越来越多的游戏行业都在使用高防服务器系统,从2018年1月到11月,国内棋牌运营公司发展到了几百家。
471 0
什么是高防服务器?如何搭建DDOS流量攻击防护系统