国产欧美日韩第一页|日本一二三不卡视频|在线精品小视频,亚洲第一免费播放区,metcn人体亚洲一区,亚洲精品午夜视频

DOS攻擊和DDOS攻擊的區(qū)別,怎么防范DDOS

2014-11-24 09:49:00 11360

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布,DDOS拒絕服務(wù)攻擊的實(shí)施越來(lái)越容易。出于商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素,導(dǎo)致很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長(zhǎng)期以來(lái)一直被DDOS攻擊所困擾,隨之而來(lái)的是客戶(hù)投訴、同虛擬主機(jī)用戶(hù)受牽連、法律糾紛、商業(yè)損失等一系列問(wèn)題。因此,解決DDOS攻擊問(wèn)題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

DDOS是英文Distributed Denial of Service的縮寫(xiě),意即“分布式拒絕服務(wù)”,那么什么又是拒絕服務(wù)(Denial of Service)呢?可以這么理解,凡是能導(dǎo)致合法用戶(hù)不能夠訪(fǎng)問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確,就是要阻止合法用戶(hù)對(duì)正常網(wǎng)絡(luò)資源的訪(fǎng)問(wèn),從而達(dá)成攻擊者不可告人的目的。雖然同樣是拒絕服務(wù)攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)(被攻擊者入侵過(guò)或可間接利用的主機(jī))”向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī),從而把合法用戶(hù)的網(wǎng)絡(luò)包淹沒(méi),導(dǎo)致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器的網(wǎng)絡(luò)資源,因此,拒絕服務(wù)攻擊又被稱(chēng)之為“洪水式攻擊(或流量攻擊)”,常見(jiàn)的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側(cè)重于通過(guò)對(duì)主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)功能,從而造成拒絕服務(wù),常見(jiàn)的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言,DOS相當(dāng)于單挑,DDOS相當(dāng)于群毆。俗話(huà)說(shuō):雙拳難抵四手,好漢打不過(guò)人多。所以DDOS這種無(wú)賴(lài)打法是很難防范的。至于DOS攻擊,通過(guò)給主機(jī)服務(wù)器打補(bǔ)丁或安裝防火墻軟件就可以很好地防范,下面介紹一下怎么對(duì)付DDOS攻擊。

對(duì)付DDOS是一個(gè)系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的,可以肯定,完全杜絕DDOS目前是不可能的。但通過(guò)適當(dāng)?shù)拇胧┑钟蟛糠值腄DOS攻擊是可以做到的,基于攻擊和防御都有成本開(kāi)銷(xiāo)的緣故,若通過(guò)適當(dāng)?shù)霓k法增強(qiáng)抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無(wú)法繼續(xù)而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊。

1、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話(huà),無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干。但需要注意的是,使用的網(wǎng)絡(luò)設(shè)備也要進(jìn)行同步升級(jí)。

2、升級(jí)主機(jī)服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量提升硬件配置,起關(guān)鍵作用的主要是CPU和內(nèi)存,別只貪價(jià)格不貴的便宜,否則會(huì)付出高昂的性能代價(jià),再就是網(wǎng)卡一定要選用名牌的。

3、網(wǎng)站優(yōu)化

大量事實(shí)證明,把網(wǎng)站盡可能做成靜態(tài)頁(yè)面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來(lái)不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn),若你非需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去,免的遭受攻擊時(shí)連累主服務(wù)器。當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的,而且最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪(fǎng)問(wèn),因?yàn)榻?jīng)驗(yàn)表明使用代理訪(fǎng)問(wèn)你網(wǎng)站的80%屬于惡意行為。此外還可以對(duì)網(wǎng)站域名解析做一下CDN加速技術(shù),這樣也可以防范絕大部分針對(duì)網(wǎng)站域名的攻擊。

4、增強(qiáng)操作系統(tǒng)的TCP/IP棧

Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒(méi)有開(kāi)啟而已,若開(kāi)啟的話(huà)可抵擋約10000個(gè)SYN攻擊包,若沒(méi)有開(kāi)啟則僅能抵御數(shù)百個(gè)。具體開(kāi)啟方式,可以咨詢(xún)相關(guān)技術(shù)人員或看下相關(guān)文章(例如《強(qiáng)化 TCP/IP 堆棧安全》)。

5、安裝專(zhuān)業(yè)抗DDOS防火墻

目前有一款可全功能免費(fèi)試用的“冰盾防火墻”,是專(zhuān)門(mén)針對(duì)DDOS攻擊和黑客入侵而設(shè)計(jì)的專(zhuān)業(yè)級(jí)防火墻。據(jù)測(cè)試可有效對(duì)抗每秒數(shù)十萬(wàn)的SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等DDOS攻擊,而且可識(shí)別2000多種黑客行為的入侵檢測(cè)模塊,能夠有效防范端口掃描、SQL注入、木馬上傳等攻擊。

以上幾條對(duì)抗DDOS建議,適合絕大多數(shù)擁有自己主機(jī)的用戶(hù),但假如采取以上措施后仍然不能解決DDOS問(wèn)題,就有些麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負(fù)載均衡技術(shù),甚至需要購(gòu)買(mǎi)更高級(jí)的網(wǎng)絡(luò)設(shè)備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入,總有攻擊者會(huì)放棄的時(shí)候,那時(shí)候你就成功了。

提交成功!非常感謝您的反饋,我們會(huì)繼續(xù)努力做到更好!

這條文檔是否有幫助解決問(wèn)題?

非常抱歉未能幫助到您。為了給您提供更好的服務(wù),我們很需要您進(jìn)一步的反饋信息:

在文檔使用中是否遇到以下問(wèn)題: