• 人民的需要与发展的不平衡的矛盾,社会主义追求公平正义的要求与现有的发展方式、分配方式的矛 盾不断加大,必须用马克思主义政治经济学来研究解决。 2019-10-13
  • Angelababy高扎马尾坐雪地大笑显俏皮 双手浸冰水被邓超赞“猛女” 2019-10-02
  • 点评:世界杯八大热门亮相完毕 西班牙巴西最有冠军相 2019-09-27
  • 辩证的基础就是在事实的基础上进行的,通过严密的逻辑组织完成辩证的过程,根本不存在强辩, 2019-09-21
  • 中国公民出入境通关新政实施 出入境通关排队不超过30分钟 2019-09-09
  • 番茄汁-热门标签-华商生活 2019-09-06
  • 我省首例侵犯公民个人信息案终审宣判 2019-09-06
  • 主编周记:白酒国际化先从贸易畅通路启程茅台 澳洲 2019-09-03
  • 镇江市人大常委会召开会议 表决通过人事任免 2019-08-21
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-08-15
  • 天津歌舞剧院芭蕾舞团原创芭蕾舞剧《精卫》复排版展雄姿 2019-08-15
  • 人民体育俄罗斯世界杯专题上线 2019-08-07
  • 山西省重要党务政务信息新闻发布会——黄河新闻网 2019-08-07
  • 广州市荔湾区:基层党建引领老旧社区自治 2019-08-06
  • 惊险!轿车冲进湖里两人命悬一线  民警冰水中“生死救援” 2019-07-19
  • 星际争霸神族兵种图鉴:

    温州网站建设营销建站
    公司企业网站建设服务
    当前位置:星际争霸3恶魔契约 > 新闻资讯 > 盐城网站建设之DDoS攻击原理及防护探究

    盐城网站建设之DDoS攻击原理及防护探究

    星际争霸3恶魔契约 www.yvvh.top 盐城网站建设今天和你聊下DDoS攻击对网站的危害,及如何更好更有效的防止此类问题的发生及阻止,下面带领大家来看下西部数码空间商是怎么来防护的。

    互联网的安全领域,DDoS( Distributed Denial of Service )攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。

    一、DDoS攻击的工作原理

    1.1   DDoS的定义

    DDos的前身 DoS (Denial of Service)攻击,其含义是拒绝服务攻击,这种攻击行为使网站服务器充斥大量的要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷而停止提供正常的网络服务。

    而DDoS分布式拒绝服务,则主要利用 Internet上现有机器及系统的漏洞,攻占大量联网主机,使其成为攻击者的代理。

    当被控制的机器达到一定数量后,攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击,大量消耗其网络带和系统资源,导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征,它具有了比Dos远为强大的攻击力和破坏性。

    1.2   DDoS的攻击原理

    如图1所示,一个比较完善的DDos攻击体系分成四大部分,分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon,又可称agent)和受害着( victim)。第2和第3部分,分别用做控制和实际发起攻击。

    第2部分的控制机只发布令而不参与实际的攻击,第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令。

    通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。

    图1分布式拒绝服务攻击体系结构

    之所以采用这样的结构,一个重要目的是隔离网络联系,?;すセ髡?,使其不会在攻击进行时受到监控系统的跟踪。

    同时也能够更好地协调进攻,因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为:

    1)扫描大量主机以寻找可入侵主机目标;

    2)有安全漏洞的主机并获取控制权;

    3)入侵主机中安装攻击程序;

    4)用己入侵主机继续进行扫描和入侵。

    当受控制的攻击代理机达到攻击者满意的数量时,攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽以定位。

    一旦攻击的命令传送到攻击操纵机,主控机就可以关闭或脱离网络,以逃避追踪要着,攻击操纵机将命令发布到各个攻击代理机。

    在攻击代理机接到攻击命令后,就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装,使被攻击者无法识别它的来源面且。

    这些包所请求的服务往往要消耗较大的系统资源,如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。

    另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。于是,目标主机根本无法为用户提供任何服务。

    攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正连接请求,从而无法有效分离出攻击数据包

    二、DDoS攻击识别

    DDoS ( Denial of Service,分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击方式之一。

    2.1 DDoS表现形式

    DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞。

    合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的政击,即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

    2.2 攻击识别

    流量攻击识别主要有以下2种方法:

    1) Ping测试:若发现Ping超时或丢包严重,则可能遭受攻击,若发现相同交换机上的服务器也无法访问,基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽;

    2) Telnet测试:其显著特征是远程终端连接服务器失败,相对流量攻击,资源耗尽攻击易判断,若网站访问突然非?;郝蛭薹ǚ梦?,但可Ping通,则很可能遭受攻击。

    若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、 TIME_WAIT, FIN_ WAIT_1等状态,而EASTBLISHED很少,可判定为资源耗尽攻击。

    特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常,则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令,但因仍有带宽,可ping通相同交换机上主机。

    三、DDoS攻击方式

    DDoS攻击方式及其变种繁多,就其攻击方式面言,有三种最为流行的DDoS攻击方式。

    3.1 SYN/ACK Flood攻击

    这种攻击方法是经典有效的DDoS攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伤造的故追踪起来比较困难。

    缺点是实施起来有一定难度,需要高带宽的僵尸主机支持,少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态,大量的这种攻击会导致Ping失败,TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

    攻击流程如图2所示,正常TCP连接为3次握手,系统B向系统A发送完 SYN/ACK分组后,停在 SYN RECV状态,等待系统A返回ACK分组;

    此时系统B已经为准备建立该连接分配了资源,若攻击者系统A,使用伪造源IP,系统B始终处于“半连接”等待状态,直至超时将该连接从连接队列中清除;

    因定时器设置及连接队列满等原因,系统A在很短时间内,只要持续高速发送伪造源IP的连接请求至系统B,便可成功攻击系统B,而系统B己不能相应其他正常连接请求。

    图2 SYN Flooding攻击流程

    3.2 TCP全连接攻击

    这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤 TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的。

    殊不知很多网络服务程序(如:IIS、 Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非?;郝踔廖薹ǚ梦?,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接。

    直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此此种DDOs攻击方容易被追踪。

    3.3 TCP刷 Script脚本攻击

    这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用 MSSQL Server、My SQL Server、 Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。

    一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的。

    因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。

    这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Poxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些代理会暴露DDOS攻击者的IP地址。

    四、DDoS的防护策略

    DDoS的防护是个系统工程,想仅仅依靠某种系统或产品防住DDoS是不现实的,可以肯定的说,完全杜绝DDoS目前是不可能的,但通过适当的措施抵御大多数的DDoS攻击是可以做到的。

    基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS攻击。

    4.1 采用高性能的网络设备

    抗DDoS攻击首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。

    再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

    4.2 尽量避免NAT的使用

    无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用,除了必须使用NAT,因为采用此技术会较大降低网络通信能力。

    原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。

    4.3 充足的网络带宽保证

    网络带宽直接决定了能抗受攻击的能力,假若仅有10M带宽,无论采取何种措施都很难对抗现在的 SYNFlood攻击,当前至少要选择100M的共享带宽,1000M的带宽会更好。

    但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M。

    4.4 升级主机服务器硬件

    在有网络带宽保证的前提下,尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,要保障硬件性能高并且稳定,否则会付出高昂的性能代价。

    4.5 把网站做成静态页面

    大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,到现在为止还没有出现关于HTML的溢出的情况,新浪、搜狐、网易等门户网站主要都是静态页面。

    此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问我们网站的80%属于恶意行为。

    五、总结

    DDoS政击正在不断演化,变得日益强大、隐密,更具针对性且更复杂,它已成为互联网安全的重大威胁,同时随着系统的更新换代,新的系统漏洞不断地出现,DDoS的攻击技巧的提高,也给DDoS防护增加了难度。

    有效地对付这种攻击是一个系统工程,不仅需要技术人员去探索防护的手段,网络的使用者也要具备网络攻击基本的防护意识和手段,只有将技术手段和人员素质结合到一起才能最大限度的发挥网络防护的效能。

    本文取自西部数码资讯中心

    网站建设推荐新闻

    网站目录

    网站目录是指网站为了方便浏览者或者管理者好区分而做的分类。网站的目录是网站的基本结构之一。一个网站的目录分类的好对整个网站的浏览有很大的帮助。

    睢宁卷帘门厂家推荐

    安尚邦门业作为徐州睢宁卷帘门厂家自创办以来始终以顾客为中心,以市场为导向、以品牌为核心的设计制造防火卷帘门、抗风卷帘门、水晶卷帘门、工业提升门、PVC快速门等相关产品的企业。公司现投放市场的各种防火卷帘门系列产品, 外观及自动化程度均已达到国内标准水平,产品销往全国各地。

    网站建设推广方案

    策划网站建设推广方案是为达到一定的营销目标而制定的综合性的、具体的可操作的网络营销策略和活动计划。一份完整的以网站为基本网络营销平台的网络营销策划方案必须包括以下几个基本要素:网站诊断分析、网站优化、综合网络推广、网络营销培训、收费形式、经典案例、联系我们等七大???。

    网站建设制作教程

    《网站建设制作教程》从软件开发的角度来介绍网站的建设过程,以成熟的具有广泛实用性的ASP技术作为教材的主体,内容包括网站建设基础、ASP动态网页编程、网站开发技术,新一代的互联网技术。网页编程以ASP为主,深入讲解了ASP的对象和组件;同时对COM、XML(标准通用标记语言的子集)、Web Service、.net、J2EE也做了简要介绍。在本书的写作中,作者努力将现代的软件开发原理、技术和思维方法融入互联网站建设的开发示例中,以实例贯穿《网站建设制作教程》。

    网站建设企业类型与标准

    网站建设企业类型:1、营销型网站建设2、外贸型网站建设3、企业集团式网站建设4、企业购物型网站建设5、企业微网站6、seo优化型企业网站建设,网站建设企业标准所谓的营销型网站就是满足企业的营销目的,面向客户,销售的企业的产品或服务。所以定位企业的市场再国内还是国际市场的营销功能非常重要。

    西部数码企业备案码如何获取

    西部数码企业备案码如何获取 备案码,是备案时用于验证业务开通情况的密码,仅限在备案平台备案时使用,可在主机业务管理区查看获?。盒槟庵骰滴窆芾砬?备案码选项-点击查看云建站管理区-站点详细信息-点击查看备案码

    西部数码备案企业备案码作为凭证

    启用[备案码]作为业务凭证从即日起,备案“网站信息”中不再使用业务名+业务密码方式判断业务是否存在,而启用[备案码]为业务是否存在的唯一凭证。

    网站icp备案启用电子化在线核验不需要盖章

    在线核验ICP备案主体真实身份信息后,自动生成《ICP备案信息真实性核验单》,并在线提交相关信息,不再提交纸质《ICP备案信息真实性核验单》,也无需单位盖章,核验用户仅需在线提交《互联网信息服务备案承诺书》即可。备案用户真实身份信息全电子化核上线以后,会大大减少备案的复杂程度,大大缩短备案时间。

    电子化在线核验的备案流程

    网站备案改革告别幕布,备案全程电子化手机拍照核验真实性备案填写信息验证备案类型系统将根据您填写的域名和证件,自动验证您的备案类型:根据各省规则填写备案主办单位信息填写网站负责人信息以及网站信息

    百度智能小程序接入贴吧流量说明

    接入贴吧流量进吧投放功能介绍及申请: 智能小程序发布后,开发者可在【流量配置】-【贴吧推广】??榻刑闪髁炕袢?,选择对应吧投放后会进行审核,审核通过后用户可在“贴吧”APP及“百度APP”中的贴吧小程序内对应吧看到挂载展示。

    百度智能小程序自然搜索结果流量说明

    智能小程序为开发者提供对接百度搜索生态的能力,为智能小程序导入搜索流量,旨在打造更加开放、互联互通的小程序生态。具体操作详见接入自然搜索。自然搜索能够把自己的详细服务或信息与用户的需求做精准匹配,完成用户的深度转化。

    百度智能小程序流量基础入口

    百度智能小程序自然搜索-智能小程序单卡-初级卡自然搜索-智能小程序搜索tab自然搜索-语音直达自然搜索-搜索词推荐直达

  • 人民的需要与发展的不平衡的矛盾,社会主义追求公平正义的要求与现有的发展方式、分配方式的矛 盾不断加大,必须用马克思主义政治经济学来研究解决。 2019-10-13
  • Angelababy高扎马尾坐雪地大笑显俏皮 双手浸冰水被邓超赞“猛女” 2019-10-02
  • 点评:世界杯八大热门亮相完毕 西班牙巴西最有冠军相 2019-09-27
  • 辩证的基础就是在事实的基础上进行的,通过严密的逻辑组织完成辩证的过程,根本不存在强辩, 2019-09-21
  • 中国公民出入境通关新政实施 出入境通关排队不超过30分钟 2019-09-09
  • 番茄汁-热门标签-华商生活 2019-09-06
  • 我省首例侵犯公民个人信息案终审宣判 2019-09-06
  • 主编周记:白酒国际化先从贸易畅通路启程茅台 澳洲 2019-09-03
  • 镇江市人大常委会召开会议 表决通过人事任免 2019-08-21
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-08-15
  • 天津歌舞剧院芭蕾舞团原创芭蕾舞剧《精卫》复排版展雄姿 2019-08-15
  • 人民体育俄罗斯世界杯专题上线 2019-08-07
  • 山西省重要党务政务信息新闻发布会——黄河新闻网 2019-08-07
  • 广州市荔湾区:基层党建引领老旧社区自治 2019-08-06
  • 惊险!轿车冲进湖里两人命悬一线  民警冰水中“生死救援” 2019-07-19
  • 内蒙古时时三星开奖 北京福彩pk10前三走势图 真人棋牌娱乐 捕鱼棋牌 七星彩2019年头尾 鱼丸游戏 奔驰宝马 6码复式二中二高手 黑杰克21点游戏下载 dkg金尊集团的于小梅 北京塞车网站 pk10计划软件手机版北京 电子投注单怎么兑奖 看四张牌抢庄牛牛技巧 时时彩万能6码运用 欢乐生肖开奖历史走势图 大发快三大小单双技巧