一個成功的網(wǎng)站在發(fā)展建設的同時�����,都應該明白需要做好防攻擊措施����,如果前期不做好防御工作�����,一旦遭遇大量的DDoS攻擊或CC攻擊����,那么自己的網(wǎng)站可能會癱瘓����,你知道什么是DDoS攻擊和CC攻擊嗎?一起和成都網(wǎng)站建設公司小編來學習一下吧:
什么是DDoS攻擊和CC攻擊
DDoS�,又稱分布式拒絕服務,信息安全的三要素保密性���、完整性和可用性中����,DDoS攻擊���,針對的目標正是“可用性”���。該攻擊方式迫使服務器的緩沖區(qū)滿,不接收新的請求�,使用IP欺騙,迫使服務器把合法用戶的連接復位�����,影響合法用戶的連接。
CC攻擊�,即挑戰(zhàn)黑洞,CC攻擊的原理是通過代理服務器或者大量肉雞模擬多個用戶訪問目標網(wǎng)站的動態(tài)頁面�����,制造大量的后臺數(shù)據(jù)庫查詢動作����,消耗目標CPU資源�����,造成拒絕服務�。
DDoS攻擊的是網(wǎng)站的服務器,而CC攻擊是針對網(wǎng)站的頁面攻擊的�,用術語來說就是,DDoS一個是WEB網(wǎng)絡層拒絕服務攻擊�,CC一個是WEB應用層拒絕服務攻擊。
DDos攻擊的常見方法
1�、SYN
Flood:利用TCP協(xié)議的原理,這種攻擊方法是經(jīng)典最有效的DDOS方法�����,可通殺各種系統(tǒng)的網(wǎng)絡服務,主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK
包�����,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務����。
2、HTTP Flood:針對系統(tǒng)的每個Web頁面�,或者資源,或者Rest API����,用大量肉雞,發(fā)送大量http
request�。這種攻擊主要是針對存在ASP、JSP���、PHP����、CGI等腳本程序����,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的����,特征是和服務器建立正常的TCP連接,并不斷的向腳本程序提交查詢�、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法�����。缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣���。
3、慢速攻擊:Http協(xié)議中規(guī)定���,HttpRequest以\r\n\r\n結尾來表示客戶端發(fā)送結束�����。攻擊者打開一個Http
1.1的連接�,將Connection設置為Keep-Alive�,保持和服務器的TCP長連接。然后始終不發(fā)送\r\n\r\n���,每隔幾分鐘寫入一些無意義的數(shù)據(jù)流���,拖死機器�。
4����、P2P攻擊:每當網(wǎng)絡上出現(xiàn)一個熱門事件,比如XX門�,精心制作一個種子,里面包含正確的文件下載�,同時也包括攻擊目標服務器的IP。這樣���,當很多人下載的時候���,
會無意中發(fā)起對目標服務器的TCP連接。
DDoS攻擊防御方法
1�����、過濾不必要的服務和端口:可以使用Inexpress����、Express�����、Forwarding等工具來過濾不必要的服務和端口�,即在路由器上過濾假IP�。比如Cisco公司的CEF(Cisco
Express Forwarding)可以針對封包Source IP和Routing
Table做比較,并加以過濾����。只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略���。
2�、異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾���,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾�、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾���。單臺負載每秒可防御800-927萬個syn攻擊包���。
3����、分布式集群防御:這是目前網(wǎng)絡安全界防御大規(guī)模DDOS攻擊的最有效辦法����。分布式集群防御的特點是在每個節(jié)點服務器配置多個IP地址(負載均衡),并且每個節(jié)點能承受不低于10G的DDOS攻擊����,如一個節(jié)點受攻擊無法提供服務,系統(tǒng)將會根據(jù)優(yōu)先級設置自動切換另一個節(jié)點�,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點,使攻擊源成為癱瘓狀態(tài)����,從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。
4���、高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結合�����,為企業(yè)提供對抗新興安全威脅的超級檢測功能���。它顛覆了傳統(tǒng)一個域名對應一個鏡像的做法�,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡的服務器�����。同時智能DNS解析系統(tǒng)還有宕機檢測功能�����,隨時可將癱瘓的服務器IP智能更換成正常服務器IP�����,為企業(yè)的網(wǎng)絡保持一個永不宕機的服務狀態(tài)����。
5、利用Session做訪問計數(shù)器:利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器����,防止用戶對某個頁面頻繁刷新導致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量。(文件下載不要直接使用下載地址�,才能在服務端代碼中做CC攻擊的過濾處理)
6�、把網(wǎng)站做成靜態(tài)頁面:大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面�����,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩���,至少到現(xiàn)在為止關于HTML的溢出還沒出現(xiàn)�����,看看吧!新浪�����、搜狐�、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面�,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去����,免的遭受攻擊時連累主服務器。
7����、增強操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力�,只是默認狀態(tài)下沒有開啟而已�����,若開啟的話可抵擋約10000個SYN攻擊包����,若沒有開啟則僅能抵御數(shù)百個���,具體怎么開啟���,自己去看微軟的文章吧!《強化
TCP/IP 堆棧安全》。也許有的人會問�����,那我用的是Linux和FreeBSD怎么辦?很簡單�����,按照這篇文章去做吧!《SYN Cookies》���。
8���、服務器前端加CDN中轉(免費的有百度云加速、360網(wǎng)站衛(wèi)士���、加速樂����、安全寶等)���,如果資金充裕的話�,可以購買高防的盾機����,用于隱藏服務器真實IP,域名解析使用CDN的IP�,所有解析的子域名都使用CDN的IP地址。此外�����,服務器上部署的其他域名也不能使用真實IP解析���,全部都使用CDN來解析���。
