Rumah >masalah biasa >Apakah tiga kaedah serangan DDoS?
Tiga kaedah serangan DDoS ialah: 1. Serangan Banjir SYN/ACK terutamanya dengan menghantar sejumlah besar paket SYN atau ACK dengan IP sumber palsu dan port sumber kepada hos mangsa, menyebabkan sumber cache hos; keletihan atau Sibuk menghantar paket tindak balas yang menyebabkan penafian perkhidmatan. 2. Serangan sambungan penuh TCP; ia direka untuk memintas pemeriksaan tembok api konvensional. 3. Serangan skrip; dicirikan dengan mewujudkan sambungan TCP biasa dengan pelayan dan sentiasa menghantar pertanyaan, senarai dan panggilan lain yang menggunakan sejumlah besar sumber pangkalan data kepada program skrip.
Persekitaran pengendalian tutorial ini: sistem Windows 7, komputer Dell G3.
Kesakitan terbesar untuk tapak web sedang diserang Kaedah serangan pelayan biasa terutamanya termasuk yang berikut: penembusan port, penembusan port, peretasan kata laluan dan serangan DDOS. Antaranya, DDOS pada masa ini adalah yang paling berkuasa dan salah satu yang paling sukar untuk mempertahankan serangan.
Jadi apakah itu serangan DDOS?
Penyerang memalsukan sejumlah besar permintaan yang sah kepada pelayan, menduduki sejumlah besar lebar jalur rangkaian, menyebabkan tapak web lumpuh dan tidak boleh diakses. Cirinya ialah kos pertahanan jauh lebih tinggi daripada kos serangan Seorang penggodam boleh melancarkan serangan 10G atau 100G dengan mudah, tetapi kos bertahan terhadap 10G atau 100G adalah sangat tinggi.
Serangan DDOS pada asalnya dipanggil serangan DOS (Penolakan Perkhidmatan) Prinsip serangannya ialah: anda mempunyai pelayan dan saya akan menggunakan komputer peribadi saya untuk menghantar mesej kepada pelayan anda jumlah maklumat sampah menyesakkan rangkaian anda, meningkatkan beban anda untuk memproses data, dan mengurangkan kecekapan CPU dan memori pelayan.
Namun, dengan kemajuan teknologi, serangan satu lawan satu seperti DOS mudah dipertahankan, jadi serangan penafian perkhidmatan yang diedarkan DDOS telah dilahirkan. Prinsipnya adalah sama seperti DOS, tetapi perbezaannya ialah serangan DDOS adalah serangan banyak-ke-satu, malah berpuluh-puluh ribu komputer peribadi boleh menyerang pelayan menggunakan serangan DOS pada masa yang sama, akhirnya menyebabkan pelayan yang diserang menjadi. lumpuh.
Tiga kaedah serangan DDOS biasa
SYN/ACK Serangan Banjir: Kaedah serangan DDOS yang paling klasik dan berkesan , yang boleh membunuh perkhidmatan rangkaian pelbagai sistem. Terutamanya dengan menghantar sejumlah besar paket SYN atau ACK dengan IP sumber palsu dan port sumber kepada hos mangsa, menyebabkan sumber cache hos kehabisan atau sibuk menghantar paket respons, menyebabkan penafian perkhidmatan Memandangkan semua sumber dipalsukan. ia sukar untuk dikesan. Kelemahannya ialah ia sukar untuk dilaksanakan dan memerlukan sokongan hos zombi jalur lebar tinggi.
Serangan sambungan penuh TCP: Serangan ini direka untuk memintas pemeriksaan tembok api konvensional Dalam keadaan biasa, kebanyakan tembok api konvensional mempunyai keupayaan untuk menapis serangan DOS seperti TearDrop dan Land , sambungan TCP biasa diabaikan Seperti yang semua orang tahu, bilangan sambungan TCP yang boleh diterima oleh banyak program perkhidmatan rangkaian (seperti IIS, Apache dan pelayan web lain) Apabila terdapat sejumlah besar sambungan TCP, walaupun ia adalah normal, mereka akan Akibatnya, capaian laman web sangat perlahan atau bahkan tidak boleh diakses Serangan sambungan penuh TCP menggunakan banyak hos zombi untuk terus mewujudkan sejumlah besar sambungan TCP dengan pelayan mangsa sehingga memori pelayan dan sumber lain habis dan. diseret melintasi, menyebabkan penafian perkhidmatan Ciri-ciri serangan adalah bahawa ia boleh memintas perlindungan tembok api umum untuk mencapai tujuan serangan hos zombi terdedah, kaedah serangan DDOS jenis ini mudah dikesan.
Serangan skrip: Serangan ini direka terutamanya untuk sistem tapak web yang mempunyai program skrip seperti ASP, JSP, PHP, CGI, dll., dan pangkalan data panggilan seperti MSSQLServer, MySQLServer, Oracle , dsb. , dicirikan dengan mewujudkan sambungan TCP biasa dengan pelayan, dan sentiasa menghantar pertanyaan, senarai dan panggilan lain yang menggunakan sejumlah besar sumber pangkalan data kepada program skrip Ia adalah kaedah serangan biasa dengan pendekatan yang kecil dan luas .
Bagaimana untuk bertahan daripada serangan DDOS?
Secara umumnya, anda boleh bermula dari tiga aspek: perkakasan, hos tunggal dan keseluruhan sistem pelayan.
1. Perkakasan
1 Meningkatkan lebar jalur
Lebar jalur secara langsung menentukan keupayaan untuk menahan serangan adalah penyelesaian optimum secara teori. Selagi lebar jalur lebih besar daripada trafik serangan, anda tidak takut, tetapi kosnya sangat tinggi.
2. Memperbaik konfigurasi perkakasan
Bagi memastikan lebar jalur rangkaian, cuba perbaiki konfigurasi kemudahan perkakasan seperti CPU, memori, cakera keras, kad rangkaian, penghala, suis, dsb., dan pilih perkakasan yang terkenal dan bereputasi Produk bagus.
3. Tembok api perkakasan
Letakkan pelayan di dalam bilik komputer dengan tembok api perkakasan DDoS. Firewall gred profesional biasanya mempunyai fungsi membersihkan dan menapis trafik yang tidak normal, dan boleh melawan serangan SYN/ACK, serangan sambungan penuh TCP, serangan skrip dan serangan DDoS berasaskan trafik lain
2. Tunggal hos
1. Betulkan kelemahan sistem tepat pada masanya dan tingkatkan tampung keselamatan.
2. Tutup perkhidmatan dan port yang tidak diperlukan, kurangkan alat tambah sistem yang tidak diperlukan dan item permulaan sendiri, minimumkan bilangan proses yang dilaksanakan dalam pelayan, dan tukar mod kerja
3
4. Kawal kebenaran akaun dengan ketat, larang log masuk akar, log masuk kata laluan dan ubah suai port lalai perkhidmatan yang biasa digunakan
3 Keseluruhan sistem pelayan
1. Pengimbangan beban
Gunakan pengimbangan beban untuk mengagihkan permintaan secara sama rata kepada pelbagai pelayan, mengurangkan beban pada satu pelayan.
2. CDN
CDN ialah rangkaian pengedaran kandungan yang dibina di Internet Ia bergantung pada pelayan tepi yang digunakan di pelbagai tempat dan membolehkan pengguna mendapatkan kandungan berdekatan melalui pengedaran, penjadualan dan fungsi lain. modul platform pusat kandungan yang diperlukan, mengurangkan kesesakan rangkaian, dan meningkatkan kelajuan tindak balas akses pengguna dan kadar pukulan, jadi pecutan CDN juga menggunakan teknologi pengimbangan beban. Berbanding dengan tembok api perkakasan pertahanan tinggi, adalah mustahil untuk menahan sekatan lalu lintas tanpa had, tetapi CDN lebih rasional dan berkongsi trafik penembusan dengan berbilang nod Pada masa ini, kebanyakan nod CDN mempunyai fungsi perlindungan trafik 200G Digabungkan dengan perlindungan pertahanan keras dikatakan bahawa Ia boleh mengatasi kebanyakan serangan DDoS.
3. Pertahanan kluster teragih
Ciri pertahanan kluster teragih ialah berbilang alamat IP dikonfigurasikan pada setiap pelayan nod, dan setiap nod boleh menahan serangan DDoS tidak kurang daripada 10G nod tidak dapat menyediakan perkhidmatan di bawah serangan, sistem akan bertukar secara automatik ke nod lain mengikut tetapan keutamaan dan mengembalikan semua paket data penyerang ke titik penghantaran, melumpuhkan sumber serangan.
Adakah ddos serangan aktif?
Ya.
DDoS ialah singkatan daripada Serangan penafian perkhidmatan yang diedarkan. Penafian teragih serangan pelayan (selepas ini dirujuk sebagai DDoS) ialah sejenis serangan rangkaian yang boleh menyebabkan banyak komputer (atau pelayan) diserang pada masa yang sama, menjadikan sasaran yang diserang tidak dapat digunakan secara normal.
Serangan DDoS telah muncul berkali-kali di Internet Malah syarikat besar seperti Google dan Microsoft telah dilanda serangan DDoS. Ia adalah jenis serangan rangkaian yang agak biasa.
Untuk lebih banyak pengetahuan berkaitan, sila lawati ruangan Soalan Lazim!
Atas ialah kandungan terperinci Apakah tiga kaedah serangan DDoS?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!