DDOS攻击为分布式拒绝服务攻击。

DDOS攻击分类:
网络层攻击:
SYN-flood:利用TCP建立连接时3次握手的“漏洞”,发送源地址虚假的提交,永远无法完成三次握手。占满系统的协议栈队列资源得不到释放,进而拒绝服务。
防御方式:调整内核参数方法,减少等待及重试时间,加速资源释放
    syn proxy
    syn cookies
    手包丢弃
Ack-flood:虚假Ack包,远不如syn-flood。
UDP-flood:使用虚假源地址UDP包,以DNS协议为主。
ICMP-flood:Ping洪水攻击。
应用层攻击:
CC:通过控制傀儡主机或者寻找匿名代理服务器向目标发起大量真实的HTTP请求,最终消耗掉大量的并发资源,拖慢整个网站甚至彻底拒绝服务。
DNS-flood:发送海量的DNS查询报文导致网络带宽耗尽而无法传送正常DNS查询请求。
防御方法:将UPD查询强制转为TCP,要求溯源,如果是假地址就不再回应。
慢速连接攻击:针对HTTP协议,先建立起HTTP连接,设置一个较大的Conetnt-Length,每次只发送很少的字节,让服务器一直以为HTTP头部没有传输完成,这样连接一多就很快会出现连接耗尽。
DDOS攻击方式分类:
混合型:大量的攻击中,通常并不是以上述一种数据类型来攻击,往往是TCP和UDP,网络层和应用层攻击同时进行。
反射型:“质询—应答”模式。将源地址伪造成攻击目的地址,则应答的“回包”被发送到目标,如果回包体积比较大或协议支持递归效果,攻击的效果会被放大,性价比高。
说明:将源地址设为假的无法回应,即为SYN-flood攻击,制造流量和攻击目标收到的流量为1:1,回报率低。
流量放大:SSDP协议,递归效果产生的放大倍数非常大。
脉冲型:即“打打停停”,攻击持续时间非常短。(目的:避免触发自动化防御机制)
链路冷洪:不直接攻击目标而是以阻塞目标网络的上一级链路为目的。(原因:避免防御系统对攻击流量分摊)
DDOS防御结构:
ISP近源清洗:电信运营商提供的近源清洗和流量压制,此做法为弃卒保帅,避免全站服务对所有用户彻底无法访问。
意义:对超过自身带宽储备和自身DDOS防御能力之外超大流量时补充性缓解措施。
云清洗/CDN硬抗:场景-如抢购访问量非常大时,平台上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求量相比非常小。
云清洗厂商策略:
设置好网站的CNAME,将域名指向云清洗厂商的DNS服务器
——>云清洗厂商的DNS将穿透CDN的回源的请求指向源站
——>(检测到受攻击)检测方法:客户网站部署反向代理,托管所有的并发连接。
——>域名指向自己的清洗集群,然后再将清洗后的流量回源。
总结:更改CNAME指向,等待DNS递归剩下.
DC级近目的清洗:主要用到华为的ADS设备。若探针检测到受到DDOS攻击则将Internet请求都指向DDOS清洗中心——>清洗完正常流量回到IDC业务机。
OS/APP层:DDOS最后一道防线。主要对应用层协议做补充防护。如禁用monlist,不提供UDP服务。
Web服务对相同IP/IP+cookie/HTTP头部/request URL进行检测计数->触发->阻断
防御应用:
对Web业务:以上四层全部适用
对游戏:CDN在此场景无效,DNS引流+ADS来清洗。还有在客户端和服务端通信协议做处理(如封包加标签,依赖信息对称)
服务策略:分级策略:避免某些服务导致全站不可用
    Failover机制:冗余技术
    有损服务:避免单点瓶颈,关键时刻能进行割肉。
不过总的来说DDOS攻击比较恐怖,一般防御很难抵抗主要取决于哪一方拥有的带宽资源大了。

DDOS攻击详解——常见网站攻击手段原理与防御相关推荐

  1. ❤️DDOS攻击详解❤️——万物互联时代的巨大威胁!安全领域最棘手的问题之一

    DDOS全称Distributed Denial of Service,翻译成中文是'分布式拒绝服务',DDOS攻击是安全领域最难解决的问题之一,由于其攻击方式的特殊性,始终没有一个完美的解决方案,随 ...

  2. Java程序员从笨鸟到菜鸟之(一百)sql注入攻击详解(一)sql注入原理详解

    前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误.其实sql注入漏洞就是一个.作为一个菜鸟小程 ...

  3. 【Web 安全】XSS 攻击详解

    文章目录 一.XSS 攻击概述 二.XSS 攻击原理 1. XSS的攻击载荷 (1) script 标签 (2) svg 标签 (3) img 标签 (4)body 标签 (5) video 标签 ( ...

  4. 详解SYN Flood攻击原理与防范

    详解SYN Flood攻击原理与防范 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,它是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被 ...

  5. Linux缓冲区溢出攻击详解

    Linux缓冲区溢出攻击详解 (一)当一个函数被调用后,它会: 移动栈指针ESP,EBP.开辟一段栈空间 在栈(堆)空间内分配程序申请的局部变量 (二)当一个函数去调用另一个函数时,它会: 准备入口参 ...

  6. XXE无回显攻击详解

    今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE无回显攻击详解. 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未授权 ...

  7. Python-Matplotlib可视化(1)——一文详解常见统计图的绘制

    Python-Matplotlib可视化(1)--一文详解常见统计图的绘制 matplotlib库 曲线图 曲线图的绘制 结合Numpy库,绘制曲线图 绘制多曲线图 读取数据文件绘制曲线图 散点图 条 ...

  8. 计算机网络知识详解之:TCP连接原理详解

    网络知识详解之:TCP连接原理详解 计算机网络相关知识体系详解 网络知识详解之:TCP连接原理详解 网络知识详解之:HTTP协议基础 网络知识详解之:HTTPS通信原理剖析(对称.非对称加密.数字签名 ...

  9. 网络知识详解之:HTTPS通信原理剖析(对称、非对称加密、数字签名、数字证书)

    网络知识详解之:HTTPS通信原理剖析(对称.非对称加密.数字签名.数字证书) 计算机网络相关知识体系详解 网络知识详解之:TCP连接原理详解 网络知识详解之:HTTP协议基础 网络知识详解之:HTT ...

最新文章

  1. 【MATLAB】基本绘图 ( 图形设置 | 坐标轴开关 | box 开关 | 网格开关 | 坐标轴样式 )
  2. C语言高级编程:预处理中的 # 和 ##
  3. Openpose推断阶段原理
  4. 双机热备_双机热备软件哪个好?双机热备软件推荐
  5. div独占一行 html_web前端基础-HTML及CSS选择器
  6. 如何推送和播放RTMP H265流 (RTMP HEVC)
  7. android studio 横幅,有关 android studio notification 横幅弹出的功能没有反应
  8. 软件项目开发流程以及人员职责
  9. 特斯拉Model Y在6月份销售7500辆 是Model X两倍多
  10. 黑马python入门笔记(部分)
  11. arm服务器测评_ARM:异军突起
  12. mysql 8.0开启远程访问
  13. 2G/3G LAC与4G/5G TAC的协同优化
  14. linux定时任务_linux定时任务
  15. python并行编程 - 介绍篇
  16. Spring Cloud 如何统一异常处理?写得太好了!
  17. 搜索引擎涉及的数据结构
  18. 【安卓实验】实验五、广播实验
  19. Eclipse 开源详细介绍
  20. Keras的Model模型使用

热门文章

  1. 计算机专业看重CPU还是显卡,电脑是CPU重要还是显卡重要? 你选择对了吗?
  2. 2016级ACM寒假训练(六)
  3. 如何让优酷播放器自动播放
  4. XenApp负载管理规则列表
  5. 解决金山词霸2007中美国传统词典音标乱码问题
  6. 中文新词发现算法解析
  7. python音乐的数据抓取与分析_手把手教你使用Python抓取QQ音乐数据!
  8. 再谈Thunderbird(雷鸟)的地址簿与Microsoft 活动目录(AD)关联
  9. 微服务究竟是“灵丹”还是“毒药”? | 文末送书
  10. 讲师加油站 | 003 | 关于讲师PPT课件的7条忠告