DDOS分佈式拒絕服務

DDOS(分佈式拒絕服務)概念

DDOS稱爲分佈式拒絕服務，DDOS本是利用合理的請求僞造資源過載，致使服務不可用。好比一個停車場有100個停車位，當100個停車位都停滿後，再有車想要進來。就必需要等已有的車先出來才行。若是已有的車一直不出去，那麼停車場的入口就會排有長隊。停車場的負荷過載。不能進行正常工做了，這種狀況就是「拒絕服務」。咱們的系統就比如停車場，系統中的資源就是車位，資源是有限的，而服務必須一直提供下去。若是資源已經被佔用了，那麼服務也將過載，致使系統中止新的響應。

分佈式拒絕服務攻擊，將正常的請求放大了若干倍，經過若干個網絡節點同時發起攻擊，以達成規模效應。這些網絡節點每每就是黑客們所控制的「肉雞」,數量達到必定的規模後，就造成了一個「僵屍網絡」。大型的僵屍網絡達到了數萬、數十萬的規模。如此規模的僵屍網絡發起的DDOS攻擊，幾乎是不可阻擋的。

DDOS攻擊示意圖

   

常見的DDOS攻擊

SYN/ACK Flood攻擊：

這種攻擊方法是經典最有效的DDOS攻擊方法，可通殺各類系統的網絡服務，主要是經過向受害主機發送大量僞造源IP和源端口的SYN或ACK包，致使主機的緩存資源被耗盡或忙於發送迴應包而形成拒絕服務，因爲源都是僞造的故追蹤起來比較困難，缺點是實施起來有必定難度，須要高帶寬的殭屍主機支持。少許的這種攻擊會致使主機服務器沒法訪問，但卻能夠Ping的通，在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會致使Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和鼠標。普通防火牆大多沒法抵禦此種攻擊。

TCP全鏈接攻擊：

這種攻擊是爲了繞過常規防火牆的檢查而設計的，通常狀況下，常規防火牆大多具有過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP鏈接是放過的，卻不知不少網絡服務程序（如：IIS、Apache等Web服務器）能接受的TCP鏈接數是有限的，一旦有大量的TCP鏈接，即使是正常的，也會致使網站訪問很是緩慢甚至沒法訪問，TCP全鏈接攻擊就是經過許多殭屍主機不斷地與受害服務器創建大量的TCP鏈接，直到服務器的內存等資源被耗盡而被拖跨，從而形成拒絕服務，這種攻擊的特色是可繞過通常防火牆的防禦而達到攻擊目的，缺點是須要找不少殭屍主機，而且因爲殭屍主機的IP是暴露的，所以此種DDOS攻擊方式容易被追蹤。

刷Script腳本攻擊：

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的，特徵是和服務器創建正常的TCP鏈接，並不斷的向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。通常來講，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎能夠忽略的，而服務器爲處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的數據庫服務器不多能支持數百個查詢指令同時執行，而這對於客戶端來講倒是垂手可得的，所以攻擊者只需經過Proxy代理向主機服務器大量遞交查詢指令，只需數分鐘就會把服務器資源消耗掉而致使拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP鏈接數據庫失敗、數據庫主程序佔用CPU偏高。這種攻擊的特色是能夠徹底繞過普通的防火牆防禦，輕鬆找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，而且有些Proxy會暴露DDOS攻擊者的IP地址。

DDOS攻擊的防護策略

因爲DDoS攻擊具備隱蔽性，所以到目前爲止咱們尚未發現對DDoS攻擊行之有效的解決方法。因此咱們要增強安全防範意識，提升網絡系統的安全性。

一、及早發現系統存在的攻擊漏洞，及時安裝系統補丁程序。對一些重要的信息（例如系統配置信息）創建和完善備份機制。對一些特權賬號（例如管理員賬號）的密碼設置要謹慎。經過這樣一系列的舉措能夠把攻擊者的可乘之機下降到最小。

二、在網絡管理方面，要常常檢查系統的物理環境，禁止那些沒必要要的網絡服務。創建邊界安全界限，確保輸出的包受到正確限制。常常檢測系統配置信息，並注意查看天天的安全日誌。

三、利用網絡安全設備（例如：防火牆）來加固網絡的安全性，配置好它們的安全規則，過濾掉全部的可能的僞造數據包。

四、比較好的防護措施就是和你的網絡服務提供商協調工做，讓他們幫助你實現路由的訪問控制和對帶寬總量的限制。

 

                                                                                                                         醒來了、夢散了、情歌的詞何須押韻。——淘汰