DDoS攻击原理和防范
2020-02-15 21:08 作者:艾锑无限 浏览量:
迎战疫情,艾锑无限用爱与您同行
为中国中小企业提供免费IT外包服务
为中国中小企业提供免费IT外包服务
这次的肺炎疫情对中国的中小企业将会是沉重的打击,据钉钉和微信两个办公平台数据统计现有2亿左右的人在家远程办公,那么对于中小企业的员工来说不懂IT技术将会让他们面临的最大挑战和困难。
电脑不亮了怎么办?系统蓝屏如何处理?办公室的电脑在家如何连接?网络应该如何设置?VPN如何搭建?数据如何对接?服务器如何登录?数据安全如何保证?数据如何存储?视频会议如何搭建?业务系统如何开启等等一系列的问题,都会困扰着并非技术出身的您。
好消息是当您看到这篇文章的时候,就不用再为上述的问题而苦恼,您只需拨打艾锑无限的全国免费热线电话:400 650 7820,就会有我们的远程工程师为您解决遇到的问题,他们可以远程帮您处理遇到的一些IT技术难题。
如遇到免费热线占线,您还可以拨打我们的24小时值班经理电话:15601064618或技术经理的电话:13041036957,我们会在第一时间接听您的来电,为您提供适合的解决方案,让您无论在家还是在企业都能无忧办公。
那艾锑无限具体能为您的企业提供哪些服务呢?
第一版块是保障性IT外包服务:如电脑设备运维,办公设备运维,网络设备运维,服务器运维等综合性企业IT设备运维服务。
第二版块是功能性互联网外包服务:如网站开发外包,小程序开发外包,APP开发外包,电商平台开发外包,业务系统的开发外包和后期的运维外包服务。
第三版块是增值性云服务外包:如企业邮箱上云,企业网站上云,企业存储上云,企业APP小程序上云,企业业务系统上云,阿里云产品等后续的云运维外包服务。
您要了解更多服务也可以登录艾锑无限的官网:www.bjitwx.com查看详细说明,在疫情期间,您企业遇到的任何困境只要找到艾锑无限,能免费为您提供服务的我们绝不收一分钱,我们全体艾锑人承诺此活动直到中国疫情结束,我们将这次活动称为——春雷行动。
以下还有我们为您提供的一些技术资讯,以便可以帮助您更好的了解相关的IT知识,帮您渡过疫情中办公遇到的困难和挑战,艾锑无限愿和中国中小企业一起共进退,因为我们相信万物同体,能量合一,只要我们一起齐心协力,一定会成功。再一次祝福您和您的企业,战胜疫情,您和您的企业一定行。
北京艾锑无限告诉您:DDoS攻击原理和防范
分布式拒绝服务(DDoS)攻击是一种恶意企图,通过大量互联网流量压倒目标或其周围的基础架构来破坏目标服务器,服务或网络的正常流量。DDoS攻击通过利用多个受损计算机系统作为攻击流量来源来实现有效性。被利用的机器可以包括计算机和其他网络资源,例如物联网设备。从高层次来看,DDoS攻击就像堵塞高速公路的交通堵塞,阻止了常规交通到达其所需的目的地。
DDoS攻击需要攻击者控制在线计算机网络才能进行攻击。计算机和其他计算机(如物联网设备)感染了恶意软件,将每个计算机转变为机器人(或僵尸)。然后,攻击者可以远程控制僵尸程序组,这称为僵尸网络。
一旦僵尸网络建立,攻击者就可以通过远程控制方法向每个机器人发送更新的指令来指导机器。当受害者的IP地址被僵尸网络作为目标时,每个僵尸程序将通过向目标发送请求来响应,可能导致目标服务器或网络溢出容量,从而导致对正常流量的拒绝服务。由于每个机器人都是合法的Internet设备,因此将攻击流量与正常流量分开可能很困难。
什么是常见类型的DDoS攻击?
不同的DDoS攻击向量针对网络连接的不同组件。为了理解不同的DDoS攻击是如何工作的,有必要知道如何建立网络连接。因特网上的网络连接由许多不同的组件或“层”组成。就像从头开始建造房屋一样,模型中的每一步都有不同的目的。该OSI模型,如下所示,是用来描述在7不同的层的网络连接的概念框架
应用层攻击
攻击的目标:
有时被称为第7层DDoS攻击(参考OSI模型的第7层),这些攻击的目标是耗尽目标的资源。攻击的目标是在服务器上生成网页并响应HTTP请求而传递的层。单个HTTP请求在客户端执行起来很便宜,并且目标服务器响应起来可能很昂贵,因为服务器通常必须加载多个文件并运行数据库查询才能创建网页。第7层攻击难以防御,因为流量很难被标记为恶意攻击。
应用层攻击示例:HTTP Flood
此攻击类似于同时在多个不同计算机上反复按Web浏览器中的刷新 - 大量HTTP请求泛滥服务器,导致拒绝服务。
这种类型的攻击范围从简单到复杂。更简单的实现可以访问具有相同范围的攻击IP地址,引用者和用户代理的一个URL。复杂版本可能使用大量攻击性IP地址,并使用随机引用和用户代理来定位随机URL。
协议攻击
攻击的目标:
协议攻击(也称为状态耗尽攻击)通过消耗Web应用程序服务器或防火墙和负载平衡器等中间资源的所有可用状态表容量来导致服务中断。协议攻击利用协议栈的第3层和第4层中的弱点来使目标不可访问。
协议攻击示例:
SYN Flood类似于接收来自商店前面的请求的供应室中的工作人员。工作人员收到请求,去取得包裹,并在将包裹拿出前等待确认。然后,工作人员在没有确认的情况下获得更多的包请求,直到他们无法携带更多的包,变得不堪重负,并且请求开始无人接听。
此攻击通过向目标发送具有欺骗性源IP地址的大量TCP“初始连接请求”SYN数据包来利用TCP握手。目标机器响应每个连接请求,然后等待握手中的最后一步,这一步从未发生过,耗尽了进程中的目标资源。
容量攻击
攻击的目标:
此类攻击试图通过消耗目标与较大Internet之间的所有可用带宽来创建拥塞。通过使用放大形式或其他创建大量流量的方式(例如来自僵尸网络的请求)将大量数据发送到目标。
扩增示例:
DNS放大
一个DNS放大就像如果有人打电话给餐厅和说:“我所拥有的一切的一个,请给我打电话,告诉我,我的整个秩序,”他们给回调的电话号码是目标的数量。只需很少的努力,就会产生很长的响应。
通过向具有欺骗IP地址(目标的真实IP地址)的开放DNS服务器发出请求,目标IP地址然后从服务器接收响应。攻击者构造请求,以便DNS服务器以大量数据响应目标。结果,目标接收到攻击者初始查询的放大。
减轻DDoS攻击的过程是什么?
减轻DDoS攻击的关键问题是区分攻击和正常流量。例如,如果产品发布的公司网站被热切的客户所淹没,那么切断所有流量是错误的。如果该公司突然出现来自已知不良行为者的流量激增,则可能需要努力减轻攻击。困难在于它将真实客户和攻击流量区分开来。
在现代互联网中,DDoS流量有多种形式。设计的流量可以从未欺骗的单一来源攻击到复杂的自适应多向量攻击。多向量DDoS攻击使用多个攻击路径以不同方式压倒目标,可能会分散任何一条轨迹上的缓解措施。同时针对协议栈的多个层的攻击,例如与HTTP泛洪(目标层7)耦合的DNS放大(目标层3/4)是多向量DDoS的示例。
减轻多向量DDoS攻击需要各种策略以对抗不同的轨迹。一般来说,攻击越复杂,流量越难以与正常流量分离 - 攻击者的目标是尽可能地混合,使缓解尽可能低效。涉及不加选择地丢弃或限制流量的缓解尝试可能会带来良好的流量,并且攻击也可以修改和适应以规避对策。为了克服复杂的破坏尝试,分层解决方案将带来最大的好处。
黑洞布线
几乎所有网络管理员都可以使用的一种解决方案是创建黑洞路由并将流量汇集到该路由中。在最简单的形式中,当在没有特定限制标准的情况下实施黑洞过滤时,合法和恶意网络流量都被路由到空路由或黑洞并从网络中丢弃。如果Internet属性遇到DDoS攻击,则该属性的Internet服务提供商(ISP)可能会将所有站点的流量发送到黑洞作为防御。
限速
限制服务器在特定时间窗口内接受的请求数量也是减轻拒绝服务攻击的一种方法。虽然速率限制有助于减缓网络抓取工具窃取内容和减少强力登录尝试,但仅凭它可能不足以有效地处理复杂的DDoS攻击。然而,速率限制是有效DDoS缓解策略中的有用组件。了解Cloudflare的速率限制
Web应用防火墙
甲Web应用防火墙(WAF)是一种工具,可以有助于减轻层7 DDoS攻击。通过在Internet和源服务器之间放置WAF,WAF可以充当反向代理,保护目标服务器免受某些类型的恶意流量的影响。通过基于用于识别DDoS工具的一系列规则过滤请求,可以阻止第7层攻击。有效WAF的一个关键值是能够快速实施自定义规则以响应攻击。了解Cloudflare的WAF
任播网络扩散
此缓解方法使用Anycast网络将攻击流量分散到分布式服务器网络中,直至网络吸收流量。就像将湍急的河流引入不同的较小通道一样,这种方法可以将分布式攻击流量的影响扩展到可管理的程度,从而扩散任何破坏性功能。
Anycast网络缓解DDoS攻击的可靠性取决于攻击的大小以及网络的规模和效率。Cloudflare实施的DDoS缓解的一个重要部分是使用Anycast分布式网络。Cloudflare具有15 Tbps网络,比记录的最大DDoS攻击大一个数量级。
如果您目前处于攻击状态,可以采取措施摆脱压力。如果您已经使用Cloudflare,则可以按照以下步骤缓解攻击。我们在Cloudflare实施的DDoS保护是多方面的,以减轻许多可能的攻击媒介。
相关文章
IT电脑维护外包
关闭