3269 
2023-05-29 10:43:01 DDoS攻擊是由DoS攻擊轉化的,隨著網絡時代的到來網絡安全變得越來越重要。怎么阻止服務器被ddos是大家一直在研究的話題。在互聯網的安全領域,DDoS嚴重威脅著互聯網的安全。今天小編要給大家介紹的是DDoS的攻擊原理趕緊來學習下。
DDoS的攻擊原理
一個比較完善的DDos攻擊體系分成四大部分,分別是攻擊者( attacker也可以稱為master)、控制傀儡機(handler)、攻擊傀儡機( demon,又可稱agent)和受害著(victim)。第2和第3部分,分別用做控制和實際發起攻擊。第2部分的控制機只發布令而不參與實際的攻擊,第3部分攻擊傀儡機上發出DDoS的實際攻擊包。對第2和第3部分計算機,攻擊者有控制權或者是部分的控制權,并把相應的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運行并等待來自攻擊者的指令,通常它還會利用各種手段隱藏自己不被別人發現。在平時,這些傀儡機器并沒有什么異常,只是一旦攻擊者連接到它們進行控制,并發出指令的時候,攻擊愧儡機就成為攻擊者去發起攻擊了。
之所以采用這樣的結構,一個重要目的是隔離網絡聯系,保護攻擊者,使其不會在攻擊進行時受到監控系統的跟蹤。同時也能夠更好地協調進攻,因為攻擊執行器的數目太多,同時由一個系統來發布命令會造成控制系統的網絡阻塞,影響攻擊的突然性和協同性。而且,流量的突然增大也容易暴露攻擊者的位置和意圖。整個過程可分為:
1)掃描大量主機以尋找可入侵主機目標;
2)有安全漏洞的主機并獲取控制權;
3)入侵主機中安裝攻擊程序;
4)用己入侵主機繼續進行掃描和入侵。
當受控制的攻擊代理機達到攻擊者滿意的數量時,攻擊者就可以通過攻擊主控機隨時發出擊指令。由于攻擊主控機的位置非常靈活,而且發布命令的時間很短,所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機,主控機就可以關閉或脫離網絡,以逃避追蹤要著,攻擊操縱機將命令發布到各個攻擊代理機。在攻擊代理機接到攻擊命令后,就開始向目標主機發出大量的服務請求數據包。這些數據包經過偽裝,使被攻擊者無法識別它的來源面且,這些包所請求的服務往往要消耗較大的系統資源,如CP或網絡帶寬。如果數百臺甚至上千臺攻擊代理機同時攻擊一個目標,就會導致目標主機網絡和系統資源的耗盡,從而停止服務。有時,甚至會導致系統崩潰。
另外,這樣還可以阻塞目標網絡的防火墻和路由器等網絡設備,進一步加重網絡擁塞狀況。于是,目標主機根本無法為用戶提供任何服務。攻擊者所用的協議都是一些非常常見的協議和服務。這樣,系統管理員就難于區分惡意請求和正連接請求,從而無法有效分離出攻擊數據包。
怎么阻止服務器被ddos?
DDoS的防護是個系統工程,想僅僅依靠某種系統或產品防住DDoS是不現實的,可以肯定的說,完全杜絕DDoS目前是不可能的,但通過適當的措施抵御大多數的DDoS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當的辦法增強了抵御DDoS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數攻擊者將無法繼續下去而放棄,也就相當于成功的抵御了DDoS攻擊。
1 采用高性能的網絡設備
抗DDoS攻擊首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網絡提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網絡接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。
2 盡量避免NAT的使用
無論是路由器還是硬件防護墻設備都要盡量避免采用網絡地址轉換NAT的使用,除了必須使用NAT,因為采用此技術會較大降低網絡通信能力,原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網絡包的校驗和進行計算,因此浪費了很多CPU的時間。
3 充足的網絡帶寬保證
網絡帶寬直接決定了能抗受攻擊的能力,假若僅有10M帶寬,無論采取何種措施都很難對抗現在的
SYNFlood攻擊,當前至少要選擇100M的共享帶寬,1000M的帶寬會更好,但需要注意的是,主機上的網卡是1000M的并不意味著它的網絡帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網絡服務商很可能會在交換機上限制實際帶寬為10M。
4 升級主機服務器硬件
在有網絡帶寬保證的前提下,盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務器的配置至少應該為:P42.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,內存一定要選擇DDR的高速內存,硬盤要盡量選擇SCSI的,要保障硬件性能高并且穩定,否則會付出高昂的性能代價。
DDoS攻擊正在不斷演化變得日益強大,目前成為互聯網安全的重大威脅,DDoS的攻擊原理小編已經給大家整理好了。新的系統漏洞不斷地出現一直在威脅互聯網的安全,網絡的使用者也要具備網絡攻擊基本的防護意識和手段,只有這樣才能更好地發揮網絡防護的效能。
