域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
現(xiàn)在很多主機(jī)商提供DDoS高防服務(wù)器,那么大家口中的DDoS是什么?本文接下來就會(huì)揭開DDoS的神秘面紗,并解讀DDoS常見的攻擊與防御手段。
臭名昭著的DDoS
分布式拒絕服務(wù)攻擊(全稱:Distributed denial of service attack),簡(jiǎn)稱DDoS,在中國有個(gè)別的名字,叫做洪水攻擊,所謂洪水,則是來勢(shì)洶涌,連綿不絕。作為臭名昭著的網(wǎng)絡(luò)攻擊手段,其主要思路是使攻擊者采用分布式合理服務(wù)請(qǐng)求使目標(biāo)資源、網(wǎng)絡(luò)耗盡,導(dǎo)致目標(biāo)無法提供正常服務(wù)。
白話就是DDoS攻擊這段時(shí)間,增大了訪問量,使目標(biāo)崩潰或癱瘓。
如果說舉一個(gè)并非故意卻很形象的例子,那大家可以想象春運(yùn)期間,由于訪問人數(shù)過多,購票網(wǎng)站癱瘓的樣子。
DDoS的攻擊方式
DDoS的攻擊,可以分為兩種大的層次,一種是帶寬消耗型,一種是資源消耗型,從網(wǎng)絡(luò)占用到目標(biāo)硬件性能占用,從而到達(dá)癱瘓網(wǎng)絡(luò)、崩潰系統(tǒng)的最終目的。下面列舉一些比較出名的攻擊手段,并不完全。
UDP洪水攻擊
UDP(User Datagram Protocol floods),用戶數(shù)據(jù)包協(xié)議,是一種無連接協(xié)議,大家都知道信息交換其中有握手原則,而數(shù)據(jù)包通過UDP發(fā)送時(shí),不需要握手驗(yàn)證,導(dǎo)致大量數(shù)據(jù)包發(fā)送給目標(biāo)系統(tǒng)時(shí),可能發(fā)生帶寬飽和,導(dǎo)致正常用戶的合法請(qǐng)求無法進(jìn)行。
死亡之PING
死亡之PING(ping of death),或見死亡之平,按中文的蘊(yùn)意能翻譯成死亡天平,根據(jù)TCP/IP協(xié)議,可見數(shù)據(jù)包最大字節(jié)為6,5535字節(jié),所以當(dāng)這種類型的攻擊方式,發(fā)送的數(shù)據(jù)包片段大小超過協(xié)議規(guī)定,計(jì)算機(jī)系統(tǒng)無法正常處理數(shù)據(jù)包,從而崩潰。
CC攻擊
CC(Challenge Collapsar),挑戰(zhàn)黑洞,利用大量免費(fèi)代理服務(wù)器對(duì)目標(biāo)服務(wù)器發(fā)送大量表面合法的請(qǐng)求,對(duì)目標(biāo)服務(wù)器的資源進(jìn)行消耗,從而使合法用戶無法得到服務(wù)器響應(yīng)。
DDoS的防御方式
分布式拒絕服務(wù)攻擊,目前主要采用多重驗(yàn)證、流量過濾、入侵檢測(cè)等防御方式,使阻塞帶寬的網(wǎng)絡(luò)流量過濾,讓正常訪問流量通過。
防火墻
最常見的是防火墻裝置,因?yàn)榉阑饓梢愿`活的定義訪問規(guī)則,允許或拒絕特定的通訊協(xié)議,IP地址或是轉(zhuǎn)發(fā)端口,如果目標(biāo)IP異常,可以簡(jiǎn)單的阻止IP源的一切通信,如果上升為較為復(fù)雜的端口,遭受攻擊,防火墻依然有效地隔絕惡意流量。
流量清洗
顧名思義,訪問流量通過DDoS清洗中心,使得正常流量和惡意流量被區(qū)分過濾,正常流量則繼續(xù)訪問,惡意流量則被禁止過濾。
如今的DDoS
目前DDoS的攻擊量一直下降,卻仍然是一個(gè)極大的威脅,另外一個(gè)問題是,新的DDoS平臺(tái)的可用性,比如0x-booter,可以認(rèn)為是一種Mirai變體。當(dāng)然,犯罪分子還會(huì)加強(qiáng)和完善新的DDoS攻擊,而新的互聯(lián)網(wǎng)技術(shù)和設(shè)備的投入,也將使這場(chǎng)戰(zhàn)爭(zhēng)持續(xù)進(jìn)行,攻擊者不會(huì)停滯不前,而作為防守方的安全人員,也必將亮劍迎敵。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!