DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?缩略图

首先我们来了解一下什么是DDos:

DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思。广义的DOS攻击是指:“任何导致被攻击的服务器不能正常提供服务的攻击方式”。DoS攻击和其他类型的攻击不大一样 攻击者并不是去寻找进入内部网络的入口 而是去阻止合法的用户访问资源或路由器。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这些变化都使得目标计算机有足够的资源来应付这些DoS攻击报文,这使得DoS攻击的困难程度加大,效果减小。在这种情况下, DDoS攻击方法就应运而生,DDoS是英文Distributed Denial of Service的缩写,即“分布式拒绝服务”,它是一种基于DoS的特殊形式的拒绝服务攻击。前面已经提到了,当今的计算机和网络速度都普遍比较快,尤其是大型服务器和数据中心,那数据处理能力和网络速度简直令人叹为观止,因此传统的基于一对一的DoS攻击效果已不再那么明显。

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

于是众多民间黑客大人们秉承“办法总比困难多”的励志理念,汲取街头打架斗殴场景中的精髓,既然一个人打不过,那就来群殴。(这也是为什么网站防御安全越来越受到和国家的重视的原因)到处黑服务器来做“肉鸡”,攻击目标服务器或网站。

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

现在我们来剖析一下这个攻击手法:

DDoS攻击便是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令,即使性能再高的服务器也无法应付,因此产生的破坏性极大。主要目标是较大的站点,像商业公司、搜索引擎和政府部门的站点。

DDoS攻击的4个组成部分:

1).攻击者

攻击者所用的主机,也称为攻击主控台;

2).主控端

攻击者侵入并控制的一些主机,分别控制大量代理攻击主机;

3).代理攻击端

攻击者侵入并控制的一批主机,其上面运行攻击程序,接收和运行主控端发来的命令,代理攻击端俗称“肉鸡”;

4).受害者

被攻击的目标主机。

DDoS攻击步骤

1).搜集攻击目标信息。包括目标主机的地址、配置、性能、带宽等。并根据目标主机的相关参数设计合理的攻击强度,做到知己知彼,百战不殆;

2).占领傀儡机。攻击者通过工具扫描互联网上那些有漏洞的机器,随后就是尝试攻击。攻击成功后,就可以占领和控制被攻击的主机,即“肉鸡”。攻击者可以利用FTP/TFTP等协议把DDoS攻击用的程序上传到“肉鸡”中。“肉鸡”包括主控端和代理端主机,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。

不过,攻击者如果想省事的话,可以直接从网络上购买“肉鸡”,一般是几角钱一只,量多优惠。这些“肉鸡”就是被黑客成功控制的计算机,并用于出售目的。

3). 实施攻击。攻击者登录到作为控制台的“肉鸡”中,向所有做为代理端主机的“肉鸡”发出命令,这时候埋伏在“肉鸡”中的DDoS攻击程序就会响应控制台的命令,同时向受害主机以高速度发送大量的数据包,导致受害主机死机或是无法响应正常的请求。

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

DDoS是实施成本较低和技术手段最为容易的恶意攻击形式,许多全球大型互联网企业都曾遭受过DDoS攻击,无数的中小企业更是深受其害。无论是技术含量较高的反射式攻击,还是简单粗暴的带宽消耗,无不令受害者防不胜防、头痛不已。面对来势凶凶的攻击行为,我们就没有有效的解决手段吗?答案是否定的,随着技术手段的提高,不光黑客在成长,我们安全运维人员也在学习和努力,北京东方网域新兴科技有限公司就给我们提出了一个行之有效的解决方案,我们来看看他们专家给出的一个通用型的防护策略。

基本手段:

1)攻击检测利用节点线路行攻击监测,

2)攻击防护包含流量压制和流量清洗两种主要功能

3)分析溯源主要解决对攻击来源的准确定位。我们知道,黑客利用僵尸主机发起攻击时时常会使用虚假源IP地址,以达到混淆身份,藏匿归属的目的。

北京东方网域新兴科技有限公司的云防御系统在网域云机房外侧部署了密集的防护节点,每个节点机房入口均部署了高防智能节点系统,支持waf相关功能,节点更具有加速能力。客户接入云防御系统时,云防御系统会提供一个域名。客户cname到该域名后,东方网域通过网域公司自研的GSLB域名解析系统为客户的用户提供最优的访问线路。

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

当遇到小流量攻击时,云防御系统会通过高防智能节点系统清洗攻击流量,再将清洗后的业务流量转发给web服务器。云防御系统当发生超大流量攻击时,云防御系统会根据攻击的实际的影响情况,通过修改域名的解析结果,使得正常业务流量快速分摊到未受影响的节点上去。待受影响修复后,云防御系统自动将节点上线导入业务流量。总体来讲是用游击战的战术对抗DDoS攻击。

DDos攻击的详解,论企业只能做防御死扛致网站半死不活?

云防御系统大致架构包括如下几个主要系统:移动加速系统、攻击防护点、源站、网域公司高防智能节点系统。

各网络节点分别起着不同的作用:

· 调度系统在云防御系统中起着智能域名解析、网络监控、流量调度的作用;提供包括DNS管理、DNS防护、DDoS防护、Web应用防火墙、高级自定义防护等安全策略,实时数据分析模块,继承了强大的数据处理能力和高效准确的攻击识别能力,不仅能为网站及时发现并防护各种攻击行为,更能够为网站实时提供业务日常数据分析服务。

· 源站,开发商业务服务器;CDN加速体系。东方网域团队研发了一套独立的“cdn加速”体系,该体系基于全国15个IDC骨干节点为网站提供CDN加速服务,克服了传统网络服务跨运营商访问慢,单点质量差等问题,通过实时的数据采集分析,动态选择最佳路径,优化DNS解析速度以及CDN节点路由选择线路,压缩网页文件大小,并且针对移动端访问开启专属页面优化,以保证全国各地更加稳、以最快速度访问网站。

· 攻击防护点,过滤攻击流量,并将正常流量转发到源站;高防智能节点系统是网域公司的通用DDoS防护系统,在云防御系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力。另外网域公司高防智能节点系统还保护了所有网域公司的机房和系统。

另外经专家介绍该防护产品背后拥有全国最大的恶意网址库、全国最大的第三方漏洞收集平台、全国顶尖的样本库,数据分析规则与360网站安全云平台检测规则实时同步,保证能够第一时间发现最新的黑客攻击行为和漏洞信息

发表评论

邮箱地址不会被公开。 必填项已用*标注