Rumah >Operasi dan penyelenggaraan >Keselamatan >Apakah kaedah serangan ddos?
Tiga kaedah serangan DDoS ialah: 1. Serangan Banjir SYN/ACK terutamanya dengan menghantar sejumlah besar paket SYN atau ACK dengan IP sumber palsu dan port sumber kepada hos mangsa, menyebabkan sumber cache hos; keletihan atau Sibuk menghantar paket tindak balas yang menyebabkan penafian perkhidmatan. 2. Serangan sambungan penuh TCP; ia direka untuk memintas pemeriksaan tembok api konvensional. 3. Serangan skrip; dicirikan dengan mewujudkan sambungan TCP biasa dengan pelayan dan sentiasa menghantar pertanyaan, senarai dan panggilan lain yang menggunakan sejumlah besar sumber pangkalan data kepada program skrip.
Perkara yang paling membimbangkan tentang tapak web ialah serangan kaedah serangan pelayan biasa termasuk penembusan port, peretasan kata laluan dan serangan DDOS. Antaranya, DDOS pada masa ini adalah yang paling berkuasa dan salah satu yang paling sukar untuk mempertahankan serangan.
Jadi apakah itu serangan DDOS?
Penyerang memalsukan sejumlah besar permintaan yang sah dan menggunakan lebar jalur rangkaian sebagai cara untuk menurunkan tapak web, menjadikan tapak web tidak boleh diakses. Cirinya ialah kos pertahanan jauh lebih tinggi daripada kos serangan Seorang penggodam boleh melancarkan serangan 10G atau 100G dengan mudah, tetapi kos bertahan terhadap 10G atau 100G adalah sangat tinggi.
Serangan DDOS pada asalnya dipanggil serangan DOS (Penolakan Perkhidmatan) Prinsip serangannya ialah: anda mempunyai pelayan dan saya akan menggunakan komputer peribadi saya untuk menghantar mesej kepada pelayan anda jumlah maklumat sampah menyesakkan rangkaian anda, meningkatkan beban pemprosesan data anda, dan mengurangkan kecekapan CPU dan memori pelayan.
DDOS disebabkan oleh kemajuan teknologi, kerana kaedah pertahanan semasa boleh bertahan dengan mudah daripada serangan satu lawan satu seperti DOS. Prinsipnya adalah sama seperti DOS, tetapi perbezaannya ialah serangan DDOS adalah serangan banyak-ke-satu, malah berpuluh-puluh ribu komputer peribadi boleh menyerang pelayan menggunakan serangan DOS pada masa yang sama, akhirnya menyebabkan pelayan yang diserang menjadi. lumpuh.
Tiga kaedah serangan DDOS biasa
SYN/ACK Serangan Banjir: Kaedah serangan DDOS yang paling klasik dan berkesan, yang boleh membunuh semua jenis menyerang Perkhidmatan rangkaian sistem. Terutamanya dengan menghantar sejumlah besar paket SYN atau ACK dengan IP sumber palsu dan port sumber kepada hos mangsa, menyebabkan sumber cache hos kehabisan atau sibuk menghantar paket respons, menyebabkan penafian perkhidmatan Memandangkan semua sumber dipalsukan. ia sukar untuk dikesan. Kelemahannya ialah ia sukar untuk dilaksanakan dan memerlukan sokongan hos zombi jalur lebar tinggi.
Serangan sambungan penuh TCP: Serangan ini direka untuk memintas pemeriksaan tembok api konvensional Dalam keadaan biasa, kebanyakan tembok api konvensional mempunyai keupayaan untuk menapis serangan DOS seperti TearDrop dan Land sambungan TCP biasa diabaikan Seperti yang semua orang tahu, bilangan sambungan TCP yang boleh diterima oleh banyak program perkhidmatan rangkaian (seperti IIS, Apache dan pelayan web lain) Apabila terdapat sejumlah besar sambungan TCP, walaupun ia biasa, mereka akan Akibatnya, capaian laman web sangat perlahan atau bahkan tidak boleh diakses Serangan sambungan penuh TCP menggunakan banyak hos zombi untuk terus mewujudkan sejumlah besar sambungan TCP dengan pelayan mangsa sehingga memori pelayan dan sumber lain habis dan diseret. merentasi, menyebabkan penafian perkhidmatan Ciri-ciri serangan adalah bahawa ia boleh memintas perlindungan tembok api umum untuk mencapai tujuan serangan hos terdedah, kaedah serangan DDOS jenis ini mudah dikesan.
Serangan skrip: Serangan ini direka terutamanya untuk sistem tapak web yang mempunyai program skrip seperti ASP, JSP, PHP, CGI, dll., dan pangkalan data panggilan seperti MSSQLServer, MySQLServer, Oracle , dsb. , dicirikan dengan mewujudkan sambungan TCP biasa dengan pelayan, dan sentiasa menghantar pertanyaan, senarai dan panggilan lain yang menggunakan sejumlah besar sumber pangkalan data kepada program skrip Ia adalah kaedah serangan biasa dengan pendekatan yang kecil dan luas.
Bagaimana untuk bertahan daripada serangan DDOS?
Secara umum, anda boleh bermula dari tiga aspek: perkakasan, hos tunggal dan keseluruhan sistem pelayan.
1. Perkakasan
1 Meningkatkan lebar jalur
Lebar jalur secara langsung menentukan keupayaan untuk menahan serangan adalah penyelesaian optimum secara teori. Selagi lebar jalur lebih besar daripada trafik serangan, anda tidak takut, tetapi kosnya sangat tinggi.
2. Memperbaik konfigurasi perkakasan
Bagi memastikan lebar jalur rangkaian, cuba perbaiki konfigurasi kemudahan perkakasan seperti CPU, memori, cakera keras, kad rangkaian, penghala, suis, dsb., dan pilih kemudahan perkakasan yang terkenal dan bereputasi baik.
3. Tembok api perkakasan
Letakkan pelayan di dalam bilik komputer dengan tembok api perkakasan DDoS. Firewall gred profesional biasanya mempunyai fungsi membersihkan dan menapis trafik yang tidak normal, dan boleh melawan serangan SYN/ACK, serangan sambungan penuh TCP, serangan skrip dan serangan DDoS berasaskan trafik lain
2. Tunggal hos
1. Betulkan kelemahan sistem tepat pada masanya dan tingkatkan tampung keselamatan.
2. Tutup perkhidmatan dan port yang tidak diperlukan, kurangkan alat tambah sistem yang tidak diperlukan dan item permulaan sendiri, minimumkan bilangan proses yang dilaksanakan dalam pelayan, dan tukar mod kerja
3
4. Kawal kebenaran akaun dengan ketat, larang log masuk akar, log masuk kata laluan dan ubah suai port lalai perkhidmatan yang biasa digunakan
3 Keseluruhan sistem pelayan
1. Pengimbangan beban
Gunakan pengimbangan beban untuk mengagihkan permintaan secara sama rata kepada pelbagai pelayan, mengurangkan beban pada satu pelayan.
2
CDN ialah rangkaian pengedaran kandungan yang dibina di Internet Ia bergantung pada pelayan tepi yang digunakan di pelbagai tempat dan menggunakan pengedaran, penjadualan dan modul berfungsi lain platform pusat untuk membolehkan pengguna mendapatkan kandungan yang mereka perlukan berdekatan, mengurangkan rangkaian. kesesakan, dan meningkatkan respons akses pengguna Kelajuan dan kadar pukulan, jadi pecutan CDN juga menggunakan teknologi pengimbangan beban. Berbanding dengan tembok api perkakasan pertahanan tinggi, yang tidak dapat menahan sekatan lalu lintas tanpa had, CDN lebih rasional dan berkongsi trafik penembusan dengan berbilang nod Pada masa ini, kebanyakan nod CDN mempunyai fungsi perlindungan trafik 200G, boleh dikatakan demikian Ia boleh mengatasi kebanyakan serangan DDoS.
3. Pertahanan kluster teragih
Ciri pertahanan kluster teragih ialah berbilang alamat IP dikonfigurasikan pada setiap pelayan nod, dan setiap nod boleh menahan serangan DDoS tidak kurang daripada 10G nod tidak dapat menyediakan perkhidmatan di bawah serangan, sistem akan bertukar secara automatik ke nod lain mengikut tetapan keutamaan dan mengembalikan semua paket data penyerang ke titik penghantaran, melumpuhkan sumber serangan.
Adakah ddos serangan aktif?
Ya.
DDoS ialah singkatan daripada Serangan penafian perkhidmatan yang diedarkan. Penafian teragih serangan pelayan (selepas ini dirujuk sebagai DDoS) ialah sejenis serangan rangkaian yang boleh menyebabkan banyak komputer (atau pelayan) diserang pada masa yang sama, menjadikan sasaran yang diserang tidak dapat digunakan secara normal.
Serangan DDoS telah muncul berkali-kali di Internet Malah syarikat besar seperti Google dan Microsoft telah dilanda serangan DDoS. Ia adalah jenis serangan rangkaian yang agak biasa.
Atas ialah kandungan terperinci Apakah kaedah serangan ddos?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!