DDoS,或者分布式拒绝服务,可以这么理解。任何可能导致合法用户无法访问正常网络服务的行为都是拒绝服务攻击。同时被称为“洪水袭击”。当受到攻击时,会导致合法用户无法正常访问网站。
什么是ddos攻击?
DDos(分布式拒绝服务)代表分布式拒绝服务。它利用大量的合理请求使资源过载,从而使网络瘫痪。比如一个店只能容纳50个人,但是有人雇500个人来。这500人在店里不花钱,还在外面排队,导致正常顾客进不去,甚至店铺直接瘫痪。
DDos攻击的常用方法:
1.合成洪水
利用TCP协议的原理,这种攻击方式是最经典最有效的DDOS方式,可以秒杀各种网络服务。在TCP通道建立之前,需要进行三次握手,因此攻击者可以通过伪造大量的TCP握手请求来耗尽服务器的资源。
2.HTTP洪水
对于系统的每一个网页、资源或者Rest API,大量的肉鸡用来发送大量的http请求。典型的攻击方式是小而广,缺点是对付只有静态页面的网站效果会大打折扣。
3.缓慢攻击
根据Http协议,HttpRequest以\r\n\r\n结尾,表示客户端发送结束。攻击者打开一个Http 1.1连接,将连接设置为Keep-Alive,并保持与服务器的长TCP连接。然后就再也不发了\r\n\r\n,每隔几分钟就写一些无意义的数据流,把机器拖死。
4.P2P攻击
每当网络上出现热点事件,比如XX门,就仔细做一个种子,里面有正确的文件下载。
DDoS攻击防御方法
应对DDOS是一个系统工程,很难做到完全防御。
1.过滤不必要的服务和端口。
可以使用不表达、表达、转发等工具。来过滤不必要的服务和端口,也就是过滤路由器上的假IP。
2.分布式集群防御
这是目前网络安全防御大规模DDoS攻击最有效的方式。如果一个节点受到攻击,无法提供服务,系统会根据优先级设置自动切换到另一个节点,攻击者的所有数据包都会返回到发送点,从更深层次的安全防护角度瘫痪攻击源,影响企业的安全执行决策。
3.扩展带宽。
带宽直接决定了抵御攻击的能力,所以在ddos的时候,增加带宽似乎是最优的解决方案,但是国内的带宽非常昂贵。瞬间几个G的流量,携带起来可能要几十万人民币,大部分人都不愿意花这个钱。
4.使用硬件防火墙。
针对DDoS攻击和黑客入侵而设计的专业防火墙,可以抵御SYN/ACK攻击、TCP全连接攻击、脚本刷攻击等流量DDoS攻击。通过清理和过滤异常流量。
5.负载平衡
一种廉价、有效、透明的方法可以扩展网络设备和服务器的带宽,增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性,对DDoS流量攻击和CC攻击有效。CC攻击由于大量的网络流量而使服务器过载,这些流量通常是为一个页面或一个链接生成的。企业网站加入负载均衡方案后,链接请求被平均分配到各个服务器,减轻了单个服务器的负担。整个服务器系统每秒可以处理几千万甚至更多的服务请求,用户的访问速度会加快。
6.使用CDN
CDN将网站的文件分发到多个服务器上,让用户就近访问,从而提高网站的响应速度。CDN加速也采用负载均衡技术。目前大部分CDN节点都有200G流量保护功能,加上硬保护,可以说可以应对大部分DDoS攻击。
