DDoS 攻击全名是 distributed denial-of-service attack,分布式拒绝攻击,是由DoS(denial-of-service)攻击生长而来。
攻击原理是行使合理的服务请求来占用过多的服务资源,从而使服务器无法处置正当用户的指令。DDoS 攻击行使处于差别位置的多个攻击者同时向一个或者数个目的提议攻击,或者一个或多个攻击者控制了位于差别位置的多台机械(傀儡机)并行使这些机械对受害者同时实行攻击。
DDoS 攻击将造成网络资源虚耗、链路带宽堵塞、服务器资源耗尽而营业中止。
一、DDoS 常见攻击类型:
- ICMP 泛洪:该攻击通过向目的 IP 发送大量 ICMP 包,占用带宽,从而导致正当报文无法到达目的地,到达攻击目的。
- Smurf 攻击:攻击者先使用受害主机的地址,向一个广播地址发送 ICMP 回响请求,在此广播网络上,潜在的盘算机遇做出响应,大量响应将发送到受害主机,此攻击结果同 ICMP 泛洪,但比之更为隐秘。
- SYN 泛洪:蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 毗邻而举行的攻击,该攻击行使 IP 诱骗,向受害者的系统发送看起来正当的 SYN 请求,而事实上该源地址不存在或那时不在线,因而回应的 ACK 新闻无法到达目的,而受害者的系统被大量的这种半开毗邻充满,资源耗尽,而正当的毗邻无法被响应。
- UDP 泛洪:该攻击通过向目的 IP 发送大量 UDP 包,占用带宽,消耗资源。
- Fraggle 攻击:该攻击是 smurf 的变种,针对防火墙对 ICMP 包检查对照严酷的前提下,不再向广播地址发 ICMP 请求包,而是改为发送 UDP 包。
- Small-packet 攻击:IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的资源。
- bad mac intercept:目的 MAC 地址即是源 MAC 地址的报文攻击。
- bad ip equal:目的 IP 地址即是源 IP 地址的报文攻击。
二、防御方式:
- 确保服务器的系统文件是最新的版本,并实时更新系统补丁。
- 关闭不必要的服务。
- 限制同时打开的 SYN 半毗邻数目。
- 缩短 SYN 半毗邻的 time out 时间。
- 准确设置防火墙 克制对主机的非开放服务的接见 限制特定 IP 地址的接见 启用防火墙的防 DDoS 的属性 严酷限制对外开放的服务器的向外接见 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
- 认真检查网络设备和主机/服务器系统的日志。只要日志泛起破绽或是时间调换,那这台机械就可能遭到了攻击。
- 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机遇,主机的信息露出给黑客,无疑是给了对方入侵的机遇。
- 使用 unicast reverse-path 接见控制列表(ACL)过滤, 设置 SYN 数据包流量速率,升级版本过低的 ISO 为路由器确立 log server 能够领会 DDoS 攻击的原理,对我们防御的措施在加以改进,我们就可以盖住一部分的 DDoS 攻击。
本文来源于自互联网,不代表n5网立场,侵删。发布者:虚拟资源中心,转载请注明出处:https://www.n5w.com/63718.html
微信扫一扫 
