防御DDoS攻擊實(shí)用指南守住你的網(wǎng)站

2019-11-02 16:13:36

字體：大中小

供稿：網(wǎng)友

一、為何要DDoS？
隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDoS黑客工具的不斷發(fā)布，DDoS拒絕服務(wù)攻擊的實(shí)施越來越輕易，DDoS攻擊事件正在成上升趨勢。出于商業(yè)競爭、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDoS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDoS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

二、什么是DDoS？
DDoS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。雖然同樣是拒絕服務(wù)攻擊，但是DDoS和DOS還是有所不同，DDoS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會如同洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包沉沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側(cè)重于通過對主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDoS攻擊，原因是很難防范，至于DOS攻擊，通過給主機(jī)服務(wù)器打補(bǔ)丁或安裝防火墻軟件就可以很好地防范，后文會具體介紹怎么對付DDoS攻擊。

三、被DDoS了嗎？

DDoS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包沉沒而無法到達(dá)主機(jī);另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

如何判定網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重（假定平時(shí)是正常的），則可能遭受了流量攻擊，此時(shí)若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。當(dāng)然，這樣測試的前提是你到服務(wù)器主機(jī)之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。不過有一點(diǎn)可以肯定，假如平時(shí)Ping你的主機(jī)服務(wù)器和接在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的，忽然都Ping不通了或者是嚴(yán)重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個(gè)流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會失敗。

相對于流量攻擊而言，資源耗盡攻擊要輕易判定一些，假如平時(shí)Ping網(wǎng)站主機(jī)和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)忽然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時(shí)若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重，而Ping與自己的主機(jī)在同一交換機(jī)上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無法回應(yīng)Ping命令，其實(shí)帶寬還是有的，否則就Ping不通接在同一交換機(jī)上的主機(jī)了。

上一篇：從入侵者的角度淺談服務(wù)器安全配置基本知識

下一篇：在Serv-U中使用SSL證書增強(qiáng)FTP服務(wù)器安全性圖文設(shè)置方法