网络安全-拒绝服务(DDOS)
什么是拒绝服务攻击(DOS / DDOS)
拒绝服务攻击(英语:denial-of-service attack,简称DoS攻击),是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
当黑客使用网络上大量的被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS攻击)亦称洪水攻击。
- DOS: 一台or几台机器发生攻击
- DDOS:大量的机器,这些机器是分布的,分布在世界各地(前期抓肉鸡,代理),一瞬间会有大量的访问数据冲击目标服务器
特点
- 模拟正常用户进行访问
- 占用大量服务器资源
- 占用运营商带宽资源,带宽资源耗尽,正常的用户也是没办法访问服务的
导致无法服务正常用户
攻击手段
TCP半连接
TCP是三次握手,但攻击者只发送一半的请求,服务器就会尝试打开一个连接,告诉对方说已近准备好,可以来连接,但攻击者此时又不连接了。TCP半连接,攻击的时候服务器有很多的半连接在等待占用资源
HTTP连接
走正常的http请求,像一个正常的用户,但服务器服务的容量是有限的,会占用大量的服务器资源
DNS
攻击域名解析服务器。
攻击症状
- 网络异常缓慢(打开文件或访问网站)
- 特定网站无法访问
- 无法访问任何网站
- 垃圾邮件的数量急剧增加[4]
- 无线或有线网络连接异常断开
- 长时间尝试访问网站或任何互联网服务时被拒绝
- 服务器容易断线、卡顿、访问延迟
防御手段
ddos极难防御但可以做一些有限的防御
防火墙
尝试过滤一些流量,将异常的流量过滤掉。
交换器,路由器
交换器/路由器也能做一部分流量的过滤,虽然不强大,但可以做,可以防御一些规模较小的攻击
流量清洗
当获取到流量时,通过DDoS防御软件的处理,对流量分析,找出攻击者访问的特征,过滤掉异常的访问。将正常流量和恶意流量区分开,正常的流量则回注回客户网站,反之则屏蔽。这样一来站点能够保持正常的运作,仅仅处理真实用户访问网站带来的合法流量。
高仿IP
购买商业服务。云服务厂商提供的服务,当服务受到攻击的时候,云服务厂商给一个高仿的IP。让域名指向这个IP,当用户访问的时候,访问的是这个高仿IP。攻击者也会访问到这个高仿IP。
在这个高仿IP背后有大规模的流量清洗服务。拦截攻击流量。这个高仿IP也会提供非常大的带宽。
DOS攻击预防
- 避免重逻辑服务
- 快速失败,快速放回
- 防雪崩机制
- 有损服务(允许业务是不正常的,系统中有很多服务组成,当一个服务挂了之后,不影响核心服务)
- CDN(有一部分的作用,对于静态资源而言,将压力分发给CDN的各个节点,减少服务器的负载。)
参考文档
维基百科 - DDOS