遭到(dào)DDoS攻擊,服務器(qì)會(huì)₽$發生(shēng)哪些(xiē)狀況?
來(lái)源:mozhe 2021-10-14
“知(zhī)己知(zhī)彼☆',百戰不(bù)殆”這(zhè)是(shì)《孫子(zǐ)兵(b£φīng)法》中的(de)一(yī)句老(lǎo)話(huà),如✘£↑(rú)果我們想要(yào)有(yǒu)靠譜的(de)DDoS攻擊防禦方案,我們重要(yào)的(de)一(yī¶ ≠)點就(jiù)是(shì)知(zhī)"™€道(dào)DDoS攻擊是(shì)如(rú)何進行(xíng),服務器(qì)會(★φ↕∑huì)發生(shēng)哪些(xiē)狀況?
關于DDos攻擊的(de)常見(jiàn)方法
1.SYN Flood:利用(yòng)TCP協¥÷÷議(yì)的(de)原理(lǐ),這(zhè)種攻擊方法是(shì)經 $β典有(yǒu)效的(de)DDOS方法,可(kě)通(t®₽ōng)殺各種系統的(de)網絡服務,主要(yào)是(shì)通(tōng)↓→ 過向受害主機(jī)發送大(dà)量僞造源IP和(hé)源端口的(♣∏§de)SYN或ACK包,導緻主機(jī)的(de)緩±>↔'存資源被耗盡或忙于發送回應包而造成拒絕服務。TCP通(tōng)道(dào♦±☆α)在建立以前,需要(yào)三次握手:
a.客戶端發送一(yī)個(gè)包含SYN标志(zhì)的(de)£πTCP報(bào)文(wén),同步報(bào)文(wén)指明(mín≤Ω±g)客戶端所需要(yào)的(de)端口号和(hé)TCP£<♠₽連接的(de)初始序列号
b.服務器(qì)收到(dào)SYN報(bào)文(ε$¶wén)之後,返回一(yī)個(gè)SYN+ACK報(bλ ào)文(wén),表示客戶端請(qǐng)求被接受,TCP初始∞¥™序列号加1
c.客戶端也(yě)返回一(yī)個(gè✔★ ¥)确認報(bào)文(wén)ACK給服♥↑務器(qì),同樣TCP序列号加1
d.如(rú)果服務器(qì)端沒有(yǒu)收到(dào)客戶端的(de≤↕)确認報(bào)文(wén)ACK,則處于等待狀态,将該客戶I÷P加入等待隊列,然後輪訓發送SYN+ACK報(bào)文(wén¶₹→ )
所以攻擊者可(kě)以通(tōng)過僞造大(dà)量的(de•♣♥)TCP握手請(qǐng)求,耗盡服務器(qì)端的(de≠Ω)資源。
2.HTTP Flood:針對(duì)系統的 (de)每個(gè)Web頁面,或者資源,或者Resπ↕βt API,用(yòng)大(dà)量肉雞,發送大(dà)量h≥♦≤ttp request。這(zhè)種攻擊≠>主要(yào)是(shì)針對(duì)存在ASP、JSP、PHP、CGI等↓₽腳本程序,并調用(yòng)MSSQLServer、MySQLServ♣&↔er、Oracle等庫的(de)網站(zhàn)系統而設計(jì)的(de),λ↔'特征是(shì)和(hé)服務器(qì)建立正常的(de) <TCP連接,并不(bù)斷的(de)向腳本程序提交查£α✘詢、列表等大(dà)量耗費(fèi)庫資源的(de)調用(yòng$' ±),典型的(de)以小(xiǎo)博大(dà)的(de)攻擊方法。缺點是(π×♠shì)對(duì)付隻有(yǒu)靜(jìng₹π≈Ω)态頁面的(de)網站(zhàn)效果會(huì)大(d&ε♦ à)打折扣。
3.慢(màn)速攻擊:Http協議(yì)中規定,Ht±φ"tpRequest以/r/n/r/n結尾來(l∞↕£ái)表示客戶端發送結束。攻擊者打開(kāi)一(yī)個(gè)Http 1×₹ε.1的(de)連接,将Connection設置為(wèi)Ke≥ε€βep-Alive,保持和(hé)服務器(qì)的(de)TCP長(chánβ±≤g)連接。然後始終不(bù)發送/r/n/r/n,每隔幾分∑↕(fēn)鐘(zhōng)寫入一(yī)些(∑β→↕xiē)無意義的(de)流,拖死機(jī£↑)器(qì)。
4.P2P攻擊:每當網絡上(shàng)出現(xiàn≥₩•)一(yī)個(gè)熱(rè)門(mén↓ )事(shì)件(jiàn),比如(rú)XX門✔✔(mén),精心制(zhì)作(zuò)一(yī)個(gè)種β₽≥α子(zǐ),裡(lǐ)面包含正确的(de)文(wé&"n)件(jiàn)下(xià)載,同時(shí)也(yě)包括攻擊目'∑γ•标服務器(qì)的(de)IP。這(zhè)€£"樣,當很(hěn)多(duō)人(rén)下(xià÷♦)載的(de)時(shí)候,會(huì)無意中發起對(du÷✔÷ì)目标雲服務器(qì)www.xinruiyun.cn的(de)"ε→TCP連接。
DDOS攻擊現(xiàn)象判定方法
1.SYN類攻擊判斷:A.CPU占用(yòng)很(hěn)高(gā≤©o);B.網絡連接狀态:netstat&ndβ∑ash;na,若觀察到(dào)大(dà)量的(de)SYN_R'©∞ECEIVED的(de)連接狀态;C.網線插上(shàng)φ₩後,服務器(qì)立即凝固無法操作(zuò),αδ拔出後有(yǒu)時(shí)可(kě)以恢複,有(yǒu)時(₹φ₹shí)候需要(yào)重新啓動機(jī)器(qì)才可(kě)恢複。
2.CC類攻擊判斷:A.網站(zhàn)出現(xiàn)servic®e unavailable提示;B.CPU占用(yò→★ng)率很(hěn)高(gāo);C.網絡連接狀态:netstat&nda §§sh;na,若觀察到(dào)大(dà)量的(de)ESTABLISHED的(♥룧de)連接狀态單個(gè)IP高(gāo)達幾十條甚☆✘÷ε至上(shàng)百條;D.用(yòng)戶無法π♥✔訪問(wèn)網站(zhàn)頁面或打開(kāi)過程非常緩慢(mà& £n),軟重啓後短(duǎn)期內(nèi)恢複正常,幾★☆→¥分(fēn)鐘(zhōng)後又(yòu&☆)無法訪問(wèn)。
3.UDP類攻擊判斷:A.觀察網卡狀況每秒(miǎo)接受大(dà)量∑∏÷ 的(de)包;B.網絡狀态:netstat–na₹₹↑∏ TCP信息正常。
4.TCP洪水(shuǐ)攻擊判斷:A.CPU占用(yòng)很(✘☆hěn)高(gāo);B.netstat–na,若觀察到(dào)↔α大(dà)量的(de)ESTABLISHED的(de)"× 連接狀态單個(gè)IP高(gāo)達幾十條甚至上(shàng)百條✘α÷。
DDoS攻擊防禦方案
一(yī)般來(lái)說(shuō),DDO₩λ≈S是(shì)需要(yào)花(huā)錢(qián)和(hé)帶寬的(de✔♥),解決DDOS也(yě)需要(yào)花(huā)錢(qián)和♥ (hé)帶寬,那(nà)麽,如(rú)果服務器(qì)被DD™ ∏OS了(le),我們應該怎麽辦呢(ne)?
1、DDoS防禦方法——保證雲服務器(qì)系統的(≥<&φde)安全
首先要(yào)确保服務器(qì)軟件(jiàn)沒有(y•γ§≈ǒu)任何漏洞,防止攻擊者入侵。确保服務器(q↑¶★ì)采用(yòng)新系統,并打上(shàng)安全補丁。在服務器(φ₩qì)上(shàng)删除未使用(yòng)的(de)服務,關閉未使用(y≠♥•'òng)的(de)端口。對(duì)于服務器(qì)上(shàng)運✔∏↑行(xíng)的(de)網站(zhàn),±εε确保其打了(le)新的(de)補丁,沒有(yǒu)安全漏洞。φ₹
正在上(shàng)傳...
2、DDoS防禦方法——隐藏雲服務器(qì)的(de)真實IP地¥♣≈'(dì)址
不(bù)要(yào)把域名直接解析到(dào)服務器(qì ©)的(de)真實IP地(dì)址,不(bù)≥<↓能(néng)讓服務器(qì)真實IP洩漏,服務器 ¶≈(qì)前端加CDN中轉(免費(fèi)的(de)CD'✔₩₽N一(yī)般能(néng)防止5G左右的(de)DDOS),如÷™(rú)果資金(jīn)充裕的(de)話(huà),↓ φ可(kě)以購(gòu)買高(gāo)防的(₹ de)盾機(jī),用(yòng)于隐藏服Ω€€務器(qì)真實IP,域名解析使用(yòng≠×)CDN的(de)IP,所有(yǒu)解析的(de)子(zǐ)> 域名都(dōu)使用(yòng)CDN的(de)IP∏✘↑地(dì)址。此外(wài),服務器(qì)上(shàng)部署的✘φ(de)其他(tā)域名也(yě)不(bù)能(néng)使用(yònλ®✔πg)真實IP解析,全部都(dōu)使用(yòng)CDN來(lái)解析≠Ω。
總之,隻要(yào)服務器(qì)的(de≥±δβ)真實IP不(bù)洩露,5G以下(xià)小 ↔φ©(xiǎo)流量DDOS的(de)預防花(€✔huā)不(bù)了(le)多(duō)少(shǎ↑αo)錢(qián),免費(fèi)的(de)CDN就(jiù)可(kě)以應β©付得(de)了(le)。如(rú)果攻擊流量超過10G<£↕,那(nà)麽免費(fèi)的(de)CDN可(kě)能(nén¶ §g)就(jiù)頂不(bù)住了(le),需要σ¶§(yào)購(gòu)買一(yī)個(gè)高(gāo)防的(de)盾機(j¥α¶ī)來(lái)應付了(le),而服務器(qì)的(de)真實IP同樣需要(β✔∞♠yào)隐藏。
關于墨者安全
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gāo)防•☆、ddos防護、cc防護、dns防護、防劫持、高' ↕(gāo)防服務器(qì)、高(gāo)防dns、網站(zhàn)防護∞ 等方面的(de)服務,全網第一(yī)款指紋識别技(jì)術(sh☆'♠>ù)防火(huǒ)牆,自(zì)研的(deβ•)WAF指紋識别架構,提供任意CC和(hé)DDoS攻擊防禦。∞§≠
關于DDos攻擊的(de)常見(jiàn)方法
1.SYN Flood:利用(yòng)TCP協¥÷÷議(yì)的(de)原理(lǐ),這(zhè)種攻擊方法是(shì)經 $β典有(yǒu)效的(de)DDOS方法,可(kě)通(t®₽ōng)殺各種系統的(de)網絡服務,主要(yào)是(shì)通(tōng)↓→ 過向受害主機(jī)發送大(dà)量僞造源IP和(hé)源端口的(♣∏§de)SYN或ACK包,導緻主機(jī)的(de)緩±>↔'存資源被耗盡或忙于發送回應包而造成拒絕服務。TCP通(tōng)道(dào♦±☆α)在建立以前,需要(yào)三次握手:
a.客戶端發送一(yī)個(gè)包含SYN标志(zhì)的(de)£πTCP報(bào)文(wén),同步報(bào)文(wén)指明(mín≤Ω±g)客戶端所需要(yào)的(de)端口号和(hé)TCP£<♠₽連接的(de)初始序列号
b.服務器(qì)收到(dào)SYN報(bào)文(ε$¶wén)之後,返回一(yī)個(gè)SYN+ACK報(bλ ào)文(wén),表示客戶端請(qǐng)求被接受,TCP初始∞¥™序列号加1
c.客戶端也(yě)返回一(yī)個(gè✔★ ¥)确認報(bào)文(wén)ACK給服♥↑務器(qì),同樣TCP序列号加1
d.如(rú)果服務器(qì)端沒有(yǒu)收到(dào)客戶端的(de≤↕)确認報(bào)文(wén)ACK,則處于等待狀态,将該客戶I÷P加入等待隊列,然後輪訓發送SYN+ACK報(bào)文(wén¶₹→ )
所以攻擊者可(kě)以通(tōng)過僞造大(dà)量的(de•♣♥)TCP握手請(qǐng)求,耗盡服務器(qì)端的(de≠Ω)資源。
2.HTTP Flood:針對(duì)系統的 (de)每個(gè)Web頁面,或者資源,或者Resπ↕βt API,用(yòng)大(dà)量肉雞,發送大(dà)量h≥♦≤ttp request。這(zhè)種攻擊≠>主要(yào)是(shì)針對(duì)存在ASP、JSP、PHP、CGI等↓₽腳本程序,并調用(yòng)MSSQLServer、MySQLServ♣&↔er、Oracle等庫的(de)網站(zhàn)系統而設計(jì)的(de),λ↔'特征是(shì)和(hé)服務器(qì)建立正常的(de) <TCP連接,并不(bù)斷的(de)向腳本程序提交查£α✘詢、列表等大(dà)量耗費(fèi)庫資源的(de)調用(yòng$' ±),典型的(de)以小(xiǎo)博大(dà)的(de)攻擊方法。缺點是(π×♠shì)對(duì)付隻有(yǒu)靜(jìng₹π≈Ω)态頁面的(de)網站(zhàn)效果會(huì)大(d&ε♦ à)打折扣。
3.慢(màn)速攻擊:Http協議(yì)中規定,Ht±φ"tpRequest以/r/n/r/n結尾來(l∞↕£ái)表示客戶端發送結束。攻擊者打開(kāi)一(yī)個(gè)Http 1×₹ε.1的(de)連接,将Connection設置為(wèi)Ke≥ε€βep-Alive,保持和(hé)服務器(qì)的(de)TCP長(chánβ±≤g)連接。然後始終不(bù)發送/r/n/r/n,每隔幾分∑↕(fēn)鐘(zhōng)寫入一(yī)些(∑β→↕xiē)無意義的(de)流,拖死機(jī£↑)器(qì)。
4.P2P攻擊:每當網絡上(shàng)出現(xiàn≥₩•)一(yī)個(gè)熱(rè)門(mén↓ )事(shì)件(jiàn),比如(rú)XX門✔✔(mén),精心制(zhì)作(zuò)一(yī)個(gè)種β₽≥α子(zǐ),裡(lǐ)面包含正确的(de)文(wé&"n)件(jiàn)下(xià)載,同時(shí)也(yě)包括攻擊目'∑γ•标服務器(qì)的(de)IP。這(zhè)€£"樣,當很(hěn)多(duō)人(rén)下(xià÷♦)載的(de)時(shí)候,會(huì)無意中發起對(du÷✔÷ì)目标雲服務器(qì)www.xinruiyun.cn的(de)"ε→TCP連接。
DDOS攻擊現(xiàn)象判定方法
1.SYN類攻擊判斷:A.CPU占用(yòng)很(hěn)高(gā≤©o);B.網絡連接狀态:netstat&ndβ∑ash;na,若觀察到(dào)大(dà)量的(de)SYN_R'©∞ECEIVED的(de)連接狀态;C.網線插上(shàng)φ₩後,服務器(qì)立即凝固無法操作(zuò),αδ拔出後有(yǒu)時(shí)可(kě)以恢複,有(yǒu)時(₹φ₹shí)候需要(yào)重新啓動機(jī)器(qì)才可(kě)恢複。
2.CC類攻擊判斷:A.網站(zhàn)出現(xiàn)servic®e unavailable提示;B.CPU占用(yò→★ng)率很(hěn)高(gāo);C.網絡連接狀态:netstat&nda §§sh;na,若觀察到(dào)大(dà)量的(de)ESTABLISHED的(♥룧de)連接狀态單個(gè)IP高(gāo)達幾十條甚☆✘÷ε至上(shàng)百條;D.用(yòng)戶無法π♥✔訪問(wèn)網站(zhàn)頁面或打開(kāi)過程非常緩慢(mà& £n),軟重啓後短(duǎn)期內(nèi)恢複正常,幾★☆→¥分(fēn)鐘(zhōng)後又(yòu&☆)無法訪問(wèn)。
3.UDP類攻擊判斷:A.觀察網卡狀況每秒(miǎo)接受大(dà)量∑∏÷ 的(de)包;B.網絡狀态:netstat–na₹₹↑∏ TCP信息正常。
4.TCP洪水(shuǐ)攻擊判斷:A.CPU占用(yòng)很(✘☆hěn)高(gāo);B.netstat–na,若觀察到(dào)↔α大(dà)量的(de)ESTABLISHED的(de)"× 連接狀态單個(gè)IP高(gāo)達幾十條甚至上(shàng)百條✘α÷。
DDoS攻擊防禦方案
一(yī)般來(lái)說(shuō),DDO₩λ≈S是(shì)需要(yào)花(huā)錢(qián)和(hé)帶寬的(de✔♥),解決DDOS也(yě)需要(yào)花(huā)錢(qián)和♥ (hé)帶寬,那(nà)麽,如(rú)果服務器(qì)被DD™ ∏OS了(le),我們應該怎麽辦呢(ne)?
1、DDoS防禦方法——保證雲服務器(qì)系統的(≥<&φde)安全
首先要(yào)确保服務器(qì)軟件(jiàn)沒有(y•γ§≈ǒu)任何漏洞,防止攻擊者入侵。确保服務器(q↑¶★ì)采用(yòng)新系統,并打上(shàng)安全補丁。在服務器(φ₩qì)上(shàng)删除未使用(yòng)的(de)服務,關閉未使用(y≠♥•'òng)的(de)端口。對(duì)于服務器(qì)上(shàng)運✔∏↑行(xíng)的(de)網站(zhàn),±εε确保其打了(le)新的(de)補丁,沒有(yǒu)安全漏洞。φ₹
正在上(shàng)傳...
2、DDoS防禦方法——隐藏雲服務器(qì)的(de)真實IP地¥♣≈'(dì)址
不(bù)要(yào)把域名直接解析到(dào)服務器(qì ©)的(de)真實IP地(dì)址,不(bù)≥<↓能(néng)讓服務器(qì)真實IP洩漏,服務器 ¶≈(qì)前端加CDN中轉(免費(fèi)的(de)CD'✔₩₽N一(yī)般能(néng)防止5G左右的(de)DDOS),如÷™(rú)果資金(jīn)充裕的(de)話(huà),↓ φ可(kě)以購(gòu)買高(gāo)防的(₹ de)盾機(jī),用(yòng)于隐藏服Ω€€務器(qì)真實IP,域名解析使用(yòng≠×)CDN的(de)IP,所有(yǒu)解析的(de)子(zǐ)> 域名都(dōu)使用(yòng)CDN的(de)IP∏✘↑地(dì)址。此外(wài),服務器(qì)上(shàng)部署的✘φ(de)其他(tā)域名也(yě)不(bù)能(néng)使用(yònλ®✔πg)真實IP解析,全部都(dōu)使用(yòng)CDN來(lái)解析≠Ω。
總之,隻要(yào)服務器(qì)的(de≥±δβ)真實IP不(bù)洩露,5G以下(xià)小 ↔φ©(xiǎo)流量DDOS的(de)預防花(€✔huā)不(bù)了(le)多(duō)少(shǎ↑αo)錢(qián),免費(fèi)的(de)CDN就(jiù)可(kě)以應β©付得(de)了(le)。如(rú)果攻擊流量超過10G<£↕,那(nà)麽免費(fèi)的(de)CDN可(kě)能(nén¶ §g)就(jiù)頂不(bù)住了(le),需要σ¶§(yào)購(gòu)買一(yī)個(gè)高(gāo)防的(de)盾機(j¥α¶ī)來(lái)應付了(le),而服務器(qì)的(de)真實IP同樣需要(β✔∞♠yào)隐藏。
墨者安全緻力于安全防護、服務器(qì)高(gāo)防、網絡高(gāo)防•☆、ddos防護、cc防護、dns防護、防劫持、高' ↕(gāo)防服務器(qì)、高(gāo)防dns、網站(zhàn)防護∞ 等方面的(de)服務,全網第一(yī)款指紋識别技(jì)術(sh☆'♠>ù)防火(huǒ)牆,自(zì)研的(deβ•)WAF指紋識别架構,提供任意CC和(hé)DDoS攻擊防禦。∞§≠
上(shàng)一(yī)篇:安全防護小(xiǎo)知(zhī)識:雲WAF的(de)利與弊
下(xià)一(yī)篇:分(fēn)享DDoS流量清洗原理(lǐ)$>♥詳解
最新文(wén)章(zhāng)
-
高(gāo)防網絡安全的(de)全方位探索一(yī)、高(gāo)防網絡安全的(de)基本概念
高(gāo)防網絡安全,簡單來(lái)說(sh§σ♣πuō),是(shì)指通(tōng)過一(yī)↓→≥系列技(jì)術(shù)手段和(hé)措>₽施來(lái)抵 -
防禦CC攻擊的(de)有(yǒu)效方法随著(zhe)網絡技(jì)術(shù)的(de)迅猛發展和(€→hé)普及,網絡已改變每一(yī)個(gè)人(rén)的(πα★de)生(shēng)活和(hé)工(gōng)作(zuò)方式♦€ ,網絡安全問(wèn)題也(yě)越來(lái)
-
DDOS防禦過程中的(de)流量清洗的(de)技(jì)₹ ≈術(shù)原理(lǐ)在DDOS防護過程中,流量清洗是(shì)必不(bù)可(kě)少(shǎo β₹ )的(de)技(jì)術(shù)操作(zuò)。那(nà)麽精準的(de∏☆>)流量清洗具體(tǐ)是(shì)通(tōng)過什(shén)麽樣
-
DNS攻擊的(de)常見(jiàn)類型有(yǒu)哪些(xiēλ®λ)?說(shuō)起dns攻擊,有(yǒu)哪些(xiē)常見(jiàn)的(de♣← )dns攻擊類型呢(ne)?如(rú)何防護網站(z★♥™hàn)DNS不(bù)被惡意攻擊呢(ne)?當下(xδ♣ià),國(guó)外(wài)知(zhī)名站(zhàn)
-
互聯網金(jīn)融行(xíng)業(yè)如(rδ↕ú)何預防DDoS攻擊?随著(zhe)互聯網的(de)快(kuài ←®α)速發展,國(guó)內(nèi)金(jīn)融行(xíng ™™)業(yè)開(kāi)始向互聯網數(shù)字化(huà)轉型,數(shù∑→λ)據顯示,亞洲有(yǒu)超過10億人(rén)使
-
墨者安全以數(shù)字內(nèi)容資産化≈☆(huà)及交易、網絡安全防護及數(shù)據安全保Ω∞ ₹護為(wèi)核心,基于大(dà)數(shù≥← )據內(nèi)容智能(néng)精準分♣§σ(fēn)析及應用(yòng)為(wèi¥×)基礎拓展多(duō)級生(shēng)态産品線MORE ABOUT US >
Copyright © 2020 深圳市£§λ↕墨者安全科技有限公司 版權所有(yǒu)
- 京ICP證000000号
-
粵公網安備 44030502003892号
粵網信備44030519847610230019×↔号
