DDoS攻击类型和缓解手段
随着这几年网络技术的发展,DDOS攻击规模也越来越大,分布式拒绝服务(DDoS)攻击已经进入了1 TbpsDDOS攻击的时代。不断创新的攻击方式让传统的安全服务商压力剧增,也让很多年轻的互联网创业公司被攻击的毫无还手之力,多少年轻人怀着创业梦想,想创造奇迹,想改变行业,可惜在遭到DDoS攻击后,可能连生存下去的机会都没有了。因为DDOS防护成本比较高,而且市场上的高防服务商鱼龙混杂,如果对DDoS不了解,遇到那种垃圾骗子高防服务商,活活把企业拖死了。今天就来说说各种DDOS攻击类型和一些缓解手段,以及教大家如何分辨高防服务商的真假和水分。
1、SYN Flood攻击和防御方式
这里是最常见的一种DDoS攻击类型,利用TCP三次握手原理,伪造的IP源,以小博大,难以追踪,堪称经典的攻击类型。大量的伪造源的SYN攻击包进入服务器后,系统会产生大量的SYN_RECV状态,最后耗尽系统的SYN Backlog,导致服务器无法处理后续的TCP请求,导致服务器瘫痪。就和下面的图片一样,服务器资源被耗尽,导致正常用户无法和服务器建立连接。
如何防御SYN Flood攻击?
方式1:软件防火墙和系统参数优化 (适用于SYN Flood攻击流量小于服务器接入带宽,并且服务器性能足够)
【Windows系统: 可以修改注册表来提高SYN数据包的处理能力】
进入注册表的[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]项目
- 启用syn攻击防护模式 (可以显著提高Windows的SYN处理能力)
SynAttackProtect=2 [dword] - 加大TCP半开连接数的队列数量
TcpMaxHalfOpen=10000 [dword] - 启用动态Backlog队列长度
EnableDynamicBacklog=1 [dword]
通过修改这三处注册表信息可以防止一些小规模并且较为简单的SYN Flood攻击
方式2: 购买专业的DDoS云清洗和云防御服务 (适用于SYN Flood攻击流量较大,强度较高的场景)
购买专业的DDoS云清洗服务之前可以咨询一下服务商采用的SYN Flood防御算法和模式,这个非常重要,SYN Flood防御算法和模式对于不同业务产生的影响是完全不同的。错误的SYN Flood防御算法和模式虽然可以防御SYN Flood攻击,但是也会导致业务无法正常访问。常见的SYN Flood防御算法有:
• SYN Cookies
• SYN Proxy
• SYN Reset
• SYN SafeGuard
如果您咨询的高防服务商无法回答或者不专业的话,基本都是代理商和一些骗子。
2、(ACK RST PSH FIN) Flood攻击和防御方式
ACK Flood / RST Flood / PSH Flood / FIN Flood 这类攻击本质上不如SYN Flood危害那么大,但是也足够轻松的导致服务器瘫痪。如下图,这类攻击虽然不会导致服务器系统中出现大量的SYN_RECV,但是会出现服务器向伪造源IP发送大量的RST报文。
如何防御(ACK RST PSH FIN) Flood攻击?
针对这种攻击,我建议直接上DDoS云清洗和云防御服务,没必要调整系统,因为没什么意义。
3、UDP Flood攻击和防御方式
UDP Flood攻击目前来说越来越普遍,得益于各种软件设计缺陷和UDP协议的无连接特性,这让UDP Flood攻击非常容易发起,并且可以得到数十倍数千倍的攻击放大,下图可以让大家了解到UDP放大攻击的原理。由于网站业务是用不到UDP协议的,所以UDP Flood攻击主要是针对游戏或者视频直播业务的。
如何防御UDP Flood攻击?
如果遇到UDP攻击,只能找一家非常专业的DDoS云清洗服务商给你做保护了,大部分DDoS云清洗和云防御服务商都是买的硬件防火墙,没有实质性的研发能力和技术实力来驱动这种端云联动的防御算法。只有真正拥有完全自研DDoS防御算法能力的服务商才可以做到这点。
4、DNS Query攻击和防御方式
DNS Query攻击是小编从业10多年来,最具备威胁的攻击方式,普遍存在于棋牌游戏,私服,菠菜,AV等暴利,竞争不是你死就是我活的行业。这种攻击最大的威胁便是,通过随机构造并查询被攻击域名的二级域名,绕过递归DNS服务器的解析记录缓存,各地区地市的递归DNS服务器向权威DNS服务器发起大量的DNS查询请求,如果被攻击域名所在的权威DNS服务器性能和带宽无法支撑查询所需要的带宽,那么就会直接瘫痪,并影响这个权威DNS服务器上的其他域名。攻击的原理示意图如下:
如何防御DNS Query攻击?
防御这种DNS Query攻击,不但难度极大,而且成本极高,并且还不一定是100%防御。尤其是递归DNS服务器压力过大的时候,运营商可以直接封禁被攻击的域名,所以只能找专业的DNS服务商和运营商配合来做,否则都是无效的,费用也是非常贵的。
5、HTTP Flood攻击(CC攻击)和防御方式
HTTP Flood攻击和SYN Flood攻击一样非常棘手,但是也非常经典,攻击效果非常显著,而防御难度却比SYN Flood攻击高出几个数量级!同时攻击软件也日新月异,各种攻击模式,很大一部分的攻击软件甚至都可以完全模拟用户行为,真真假假很难分辨。
如何防御HTTP Flood攻击(CC攻击)?
如果攻击规模不大的,可以考虑将被攻击的页面静态化,避开数据库查询,和动态语言。
如果攻击规模巨大,每秒QPS高达数万以上的CC攻击,有两种办法。
方法1: 购买大量的服务器和带宽,以及专业的硬件负载均衡设备做负载均衡,将WEB服务器和数据库服务器做成集群和高可用架构,这样可以极大的提高CC攻击的防御能力。但是这个成本可能会很高。
方法2: 购买专业的DDoS云清洗和云防御服务商的服务,专业的事情交给专业的人去做。友情提示一下,CC攻击防御难度很高,建议让防御服务商免费提供1-3天的防御试用,如果三天期间防御效果不满意可以换一家,而不至于被骗。
6、慢请求攻击和防御方式
慢请求攻击是这几年新兴的攻击方式,通过大量的肉鸡发起大量的请求,每个肉鸡每秒只请求1次,大量肉鸡会导致服务器遭受大量的攻击请求,但每个源IP看着却没有异常行为。慢请求攻击示意图:
如何防御慢请求攻击?
方案1:主要是扩展后端业务服务器规模来死扛这种攻击,成本极高,但是能解决。
方案2:寻找专业的云安全服务提供商,解决这种攻击。
7、脉冲型DDoS攻击和防御方式
脉冲型的攻击可以在短时间内发起多次DDoS攻击,并且快速停止,快速打击,这对于很多云安全防御服务商来说就是噩梦。脉冲波型DDoS相对难以防御,因为其攻击方式避开了触发自动化的防御机制。在“脉冲波”持续过程中,被攻击者的网络陷入了瘫痪,而当网络恢复时,又发起新一波脉冲攻击,甚至能发起更多同步攻击,让被攻击者防不胜防。
如何防御脉冲型DDoS攻击?
脉冲型DDoS攻击防御难度极高,只需要100G-200G的攻击流量即可瘫痪T级别的防御,对于DDoS清洗设备的压力和可靠性要求巨大。没办法自己解决,只能依靠专业的云安全服务商解决,并且是有足够强大的研发能力和技术支撑能力的。
8、混合矢量(Multi-Vector)攻击和防御方式
也叫做混合DDoS攻击,这种DDoS攻击通常只存在于利润巨大,竞争巨大,并且有着血海深仇对手的攻击。这种攻击通常会利用所有可利用的攻击方式来攻击目标,初期的目的是让DDoS硬件防火墙处理不过来,当你的防御算法无法精细的过滤掉这些恶意流量时,但凡漏了一点点攻击流量进入后端服务器,那就是灾难性的。
DDoS攻击类型和缓解手段相关推荐
- 什么是DDos攻击,如何有效缓解DDos攻击?
任何攻击都不会凭空产生,DDOS也有特定的来源.绝大多数的DDOS攻击都来自于僵尸网络.僵尸网络就是由数量庞大的可联网僵尸主机组成,而僵尸主机可以是任何电子设备(不仅是X86架构的设备,更多反而是物联 ...
- 面对流量型DDOS攻击不知所措?这几种DDOS防护手段你需要知道
我们知道DDOS攻击是通过各种手段消耗网络带宽和系统CPU.内存.连接数等资源,直接造成网络带宽耗尽或系统资源耗尽,使得该目标系统无法为正常用户提供业务服务,从而导致拒绝服务.常规流量型的DDOS防护 ...
- 服务器中DDoS攻击有哪些类型
OSI 模型是揭示 DDoS 攻击类型的完美示例.OSI 层分为 7 种类型,根据它,不同类型的攻击属于不同级别的 OSI 层.由于所有DDoS攻击都涉及目标基础或流量网络,因此将攻击分为应用层攻击. ...
- 什么是ddos攻击,怎么防御ddos攻击?
因为最近要测试antiddos的功能,所以简单了解了一下antiddos是什么,纯小白. 什么是ddos攻击 ddos全称是Distributed Denial of Service,翻译过来就是分布 ...
- DDos攻击解析(附现状和案例)
1. DDoS简介: 1.1 DdoS定义: DDOS是什么?分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作 ...
- DDoS攻击愈演愈烈,反射攻击举足轻重
0x00概述 全球DDoS网络攻击次数不断增长,反射攻击次数也是逐年上升,笔者在之前撰写的文章<史上最大DDoS攻击"之争">中提到的几次"最大"攻 ...
- 虚拟专题:知识图谱 | DDoS攻击恶意行为知识库构建
来源:电信科学 DDoS攻击恶意行为知识库构建 刘飞扬, 李坤, 宋飞, 周华春 北京交通大学电子信息工程学院 摘要:针对分布式拒绝服务(distributed denial of service,D ...
- 物联网设备感染Mirai病毒发起的DDoS攻击
物联网设备感染Mirai病毒发起的DDoS攻击 真实案例 Mirai病毒发动攻击的过程 DDoS攻击补充 真实案例 大概2016年10月21日11点-17点(UTC时间),美国Dyn DNS 服务遭受 ...
- 全年DDoS攻击分析|知道创宇云安全2018年度网络安全态势报告
*本报告由知道创宇云安全出品* 数据来源:知道创宇云防御平台 前言 2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发.数据泄露事件层出不穷.勒索软件大行其道.此外,随着我国 ...
- 什么是DDOS攻击?有哪些防护措施?
一.DDOS简称和DDOS攻击 DDOS(Distributed Denial of Service ,分布式拒绝服务),凡是攻击者通过控制在网络上的傀儡主机,同时发动他们向目标主机进行拒绝服务攻击的 ...
最新文章
- 总结Linux-ubuntu基本配置方法(远程连接,数据库,jdk,tomcat......)
- CI框架json无法Unicode转中文解决方案
- 一张图片教你识别Vue的premission的权限管理,您细品\(^o^)/~
- 数列递推(牛客练习赛83)(数学、分块)
- html selsec 文字靠右,EDA课程设计
- linux ls 命令排序,如何在Linux中使用ls命令按大小对所有文件进行排序
- 【转】Dicom基础知识
- python文件,字符串,二进制的读写
- JavaWeb笔记(七)FilterListener
- 业务逻辑实现方式的讨论:存储过程 good or bad?
- PowerMockito问题解决一则
- react-native技术调研:react-native是什么?
- Java并发工具类之CountDownLatch
- pycharm新建python的快捷键_Pycharm超级好用的快捷键
- 美团点评合并,百度成O2O最大变量
- 2022年手机CPU性能天梯图排行榜 手机处理器排行榜 2022
- Kaggle-泰坦尼克号-机器学习/数据挖掘学习笔记
- 带你刷笔试关的小怪|详解指针习题和面试题【C语言/指针/进阶】
- 腾讯视频和优酷视频怎么嵌入网页的方法
- 微信小程序(uni-app)