一個成功的網(wǎng)站在發(fā)展建設(shè)的同時���,都應(yīng)該明白需要做好防攻擊措施,如果前期不做好防御工作,一旦遭遇大量的DDoS攻擊或CC攻擊���,那么自己的網(wǎng)站可能會癱瘓�,你知道什么是DDoS攻擊和CC攻擊嗎?一起和成都網(wǎng)站建設(shè)公司小編來學(xué)習(xí)一下吧:
什么是DDoS攻擊和CC攻擊
DDoS����,又稱分布式拒絕服務(wù),信息安全的三要素保密性�、完整性和可用性中,DDoS攻擊�����,針對的目標(biāo)正是“可用性”�。該攻擊方式迫使服務(wù)器的緩沖區(qū)滿,不接收新的請求�,使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位�,影響合法用戶的連接。
CC攻擊�����,即挑戰(zhàn)黑洞��,CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個用戶訪問目標(biāo)網(wǎng)站的動態(tài)頁面,制造大量的后臺數(shù)據(jù)庫查詢動作����,消耗目標(biāo)CPU資源,造成拒絕服務(wù)��。
DDoS攻擊的是網(wǎng)站的服務(wù)器�����,而CC攻擊是針對網(wǎng)站的頁面攻擊的���,用術(shù)語來說就是,DDoS一個是WEB網(wǎng)絡(luò)層拒絕服務(wù)攻擊��,CC一個是WEB應(yīng)用層拒絕服務(wù)攻擊����。
DDos攻擊的常見方法
1、SYN
Flood:利用TCP協(xié)議的原理���,這種攻擊方法是經(jīng)典最有效的DDOS方法�,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)�����,主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK
包,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)�����。
2�、HTTP Flood:針對系統(tǒng)的每個Web頁面,或者資源����,或者Rest API,用大量肉雞���,發(fā)送大量http
request�。這種攻擊主要是針對存在ASP���、JSP�、PHP���、CGI等腳本程序�����,并調(diào)用MSSQLServer����、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的����,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢�����、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用��,典型的以小博大的攻擊方法�。缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣��。
3���、慢速攻擊:Http協(xié)議中規(guī)定����,HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束�。攻擊者打開一個Http
1.1的連接�,將Connection設(shè)置為Keep-Alive�����,保持和服務(wù)器的TCP長連接�。然后始終不發(fā)送\r\n\r\n,每隔幾分鐘寫入一些無意義的數(shù)據(jù)流����,拖死機(jī)器。
4�����、P2P攻擊:每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個熱門事件�,比如XX門,精心制作一個種子�,里面包含正確的文件下載,同時也包括攻擊目標(biāo)服務(wù)器的IP�。這樣,當(dāng)很多人下載的時候�,
會無意中發(fā)起對目標(biāo)服務(wù)器的TCP連接。
DDoS攻擊防御方法
1����、過濾不必要的服務(wù)和端口:可以使用Inexpress����、Express�、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP�����。比如Cisco公司的CEF(Cisco
Express Forwarding)可以針對封包Source IP和Routing
Table做比較��,并加以過濾���。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法��,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略���。
2、異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾�����,通過數(shù)據(jù)包的規(guī)則過濾��、數(shù)據(jù)流指紋檢測過濾���、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常����,進(jìn)一步將異常流量禁止過濾����。單臺負(fù)載每秒可防御800-927萬個syn攻擊包。
3�、分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址(負(fù)載均衡)�,并且每個節(jié)點能承受不低于10G的DDOS攻擊,如一個節(jié)點受攻擊無法提供服務(wù)����,系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點�����,使攻擊源成為癱瘓狀態(tài)�����,從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策�。
4����、高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合����,為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法���,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器���。同時智能DNS解析系統(tǒng)還有宕機(jī)檢測功能,隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP�,為企業(yè)的網(wǎng)絡(luò)保持一個永不宕機(jī)的服務(wù)狀態(tài)。
5�����、利用Session做訪問計數(shù)器:利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器���,防止用戶對某個頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量����。(文件下載不要直接使用下載地址��,才能在服務(wù)端代碼中做CC攻擊的過濾處理)
6�、把網(wǎng)站做成靜態(tài)頁面:大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面�����,不僅能大大提高抗攻擊能力�����,而且還給駭客入侵帶來不少麻煩���,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)��,看看吧!新浪����、搜狐��、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面����,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機(jī)去,免的遭受攻擊時連累主服務(wù)器���。
7���、增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力�,只是默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包��,若沒有開啟則僅能抵御數(shù)百個����,具體怎么開啟,自己去看微軟的文章吧!《強(qiáng)化
TCP/IP 堆棧安全》����。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單���,按照這篇文章去做吧!《SYN Cookies》���。
8、服務(wù)器前端加CDN中轉(zhuǎn)(免費的有百度云加速����、360網(wǎng)站衛(wèi)士�、加速樂�����、安全寶等)�,如果資金充裕的話��,可以購買高防的盾機(jī)�,用于隱藏服務(wù)器真實IP,域名解析使用CDN的IP�,所有解析的子域名都使用CDN的IP地址。此外��,服務(wù)器上部署的其他域名也不能使用真實IP解析�,全部都使用CDN來解析。
