DDoS攻击与防御

服务器的典型攻击如DDoS，再详述DDoS攻击之前，先了解什么是DoS攻击

DoS攻击

• 简单概念：利用不合法但合理的服务请求来占用过多的服务器资源，从而使真正合法用户无法得到服务的响应。
• 特点：一般是一对一方式的，当攻击目标CPU速率低、内存小或则网络带宽小等指标性能不高时，其攻击效果明显。
• 缺陷：随着计算机与网络技术的发展，计算机的处理能力加强、各项性能指标高，这使得DoS攻击的困难程度加大。这时候分布式的拒绝服务攻击手段（DDoS）就出现了:DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者

adaf2edda3cc7cd933eebb213801213fb90e9103.jpg

DDoS攻击

1. 首先从一个比方来深入理解什么是DDOS

一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

• 借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力

2. 在信息安全的三要素——“保密性”、“完整性”和“可用性”

DoS（Denial of Service），即拒绝服务攻击，针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

3. DDoS攻击方式

DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种：

• IP Spoofing：IP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器，就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包，但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待，也就浪费了系统各方面的资源。
• LAND attack：这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的源地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽资源而死机。
• ICMP floods：ICMP floods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。
• Application：与前面叙说的攻击方式不同，Application level floods主要是针对应用软件层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。

4. 攻击现象

• 被攻击主机上有大量等待的TCP连接；
• 网络中充斥着大量的无用的数据包；
• 源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常- - 和外界通讯；
• 利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求；
• 严重时会造成系统死机。

5. 分类

按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

DDoS防御

总体来说，对DoS和DDoS的防范主要从下面几个方面考虑：

• 尽可能对系统加载最新补丁，并采取有效的合规性配置，降低漏洞利用风险；
• 采取合适的安全域划分，配置防火墙、入侵检测和防范系统，减缓攻击。
• 采用分布式组网、负载均衡、提升系统容量等可靠性措施，增强总体服务能力。
• 隐藏服务器的真实IP地址

参考来自