小型網站如何防範DDoS攻擊

ddos(Distributed Denial of Service，分佈式拒絕服務攻擊)，俗稱洪水攻擊。是在傳統的DoS攻擊基礎之上產生的新的破壞力更強的攻擊方式。分佈式拒絕服務攻擊是指藉助於客戶/服務器技術，將多個甚至幾十萬個計算機聯合起來做爲攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提升了攻擊的威力。DDoS帶來的破壞是巨大的，你沒法阻止黑客對你的網站發動DDoS攻擊，除非主動斷開Internet鏈接。若是咱們沒法防止這種攻擊，那麼，怎樣作才能最大限度地保護咱們的企業網絡呢?

　　一、瞭解DDoS攻擊當前主要有三種流行的DDoS攻擊：

　　1.1SYN/ACKFlood攻擊

　　這種攻擊方法是經典最有效的DDoS方法，可攻擊各類系統的網絡服務，主要是經過向受害主機發送大量僞造源IP和源端口的SYN或ACK包，致使主機的緩存資源被耗盡或忙於發送迴應包而形成拒絕服務，因爲源IP和源端口都是僞造的，故追蹤起來比較困難。其缺點是實施起來有必定難度，須要高帶寬的殭屍主機支持。

　　1.2TCP全鏈接攻擊

　　TCP全鏈接攻擊就是經過許多殭屍主機不斷地與受害服務器創建大量的TCP鏈接，直到服務器的內存等資源被耗盡而被拖跨，從而形成拒絕服務，這種攻擊的特色是可繞過通常防火牆的防禦而達到攻擊目的，缺點是須要找不少殭屍主機，而且因爲殭屍主機的IP是暴露的，所以容易被追蹤。

　　1.3刷Script腳本攻擊

　　這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等數據庫的網站系統而設計的，特徵是和服務器創建正常的TCP鏈接，並不斷地向腳本程序提交查詢、列表等大量耗費數據庫資源的調用，典型的以小博大的攻擊方法。常見的現象就是網站慢如蝸牛、ASP程序失效、PHP鏈接數據庫失敗、數據庫主程序佔用CPU偏高。這種攻擊的特色是能夠徹底繞過普通的防火牆防禦，輕鬆找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，而且有些Proxy會暴露攻擊者的IP地址。

　　二、發現DDoS攻擊

　　根據如下異常現象在網絡入侵監測系統創建相應規則，可以較準確地監測出DDoS攻擊。

　　(1)根據分析，攻擊者在進行DDoS攻擊前總要解析目標的主機名，BIND域名服務器可以記錄這些請求。因爲每臺攻擊服務器在進行一個攻擊前會發出PTR反向查詢請求，也就是說在DDoS攻擊前域名服務器會接收到大量的反向解析目標IP主機名的PTR查詢請求。

　　(2)當DDoS攻擊一個站點時，會出現明顯超出該網絡正常工做時的極限通信流量的現象。如今的技術可以分別對不一樣的源地址計算出對應的極限值。當明顯超出此極限值時，就代表存在DDoS攻擊的通信。所以，能夠在主幹路由器端創建ACL訪問控制規則以監測和過濾這些通信。

　　(3)特大型的ICP和UDP數據包。正常的UDP會話通常都使用小的UDP包，一般有效數據內容不超過10字節。正常的ICMP消息也不會超過64到128字節。那些尺寸明顯大得多的數據包頗有可能就是控制信息通信用的，主要含有加密後的目標地址和一些命令選項。一旦捕獲到(沒有通過僞造的)控制信息通信，DDoS服務器的位置就暴露出來了，由於控制信息通信數據包的目標地址是沒有僞造的。

　　(4)不屬於正常鏈接通信的TCP和UDP數據包。最隱蔽的DDoS工具隨機使用多種通信協議(包括基於鏈接的協議)經過基於無鏈接通道發送數據。優秀的防火牆和路由規則可以發現這些數據包。另外，那些鏈接到高於1024並且不屬於經常使用網絡服務的目標端口的數據包也是很是值得懷疑的。

　　(5)數據段內容只包含文字和數字字符(例如，沒有空格、標點和控制字符)的數據包。這每每是數據通過BASE64編碼後而只會含有BASE64字符集字符的特徵。TFN2K發送的控制信息數據包就是這種類型的數據包。TFN2K(及其變種)的特徵模式是在數據段中有一串A字符(AAA)，這是通過調整數據段大小和加密算法後的結果。若是沒有使用BASE64編碼，對於使用了加密算法數據包，這個連續的字符就是「」。

　　(6)數據段內容只包含二進制和high-bit字符的數據包。雖然此時可能在傳輸二進制文件，但若是這些數據包不屬於正常有效的通信時，能夠懷疑正在傳輸的是沒有被BASE64編碼但通過加密的控制信息通信數據包(若是實施這種規則，必須將20、2一、80等端口上的傳輸排除在外)。

　　三、應對DDoS攻擊

　　當遭受DDoS攻擊的時候要如何設法存活並繼續提供正常服務呢?

　　由前面的介紹能夠知道，若黑客攻擊規模遠高於你的網絡頻寬、設備或主機所能處理的能力，實際上是很難反抗攻擊的，但仍然有一些方法能夠減輕攻擊所形成的影響。首先是調查攻擊來源，因爲黑客由殭屍主機進行攻擊，所以，可能沒法直接查出黑客是由哪裏發動攻擊，必須一步一步從被攻擊目標往回推，先調查攻擊是由管轄網絡的哪些邊界路由器進來，上一步是外界哪臺路由器，聯絡這些路由器的管理者(多是某個ISP或電信公司)並尋求他們協助阻擋或查出攻擊來源。假如，被攻擊的目標只是單一IP，那麼試圖改個IP並更改其DNSmapping或許能夠避開攻擊，這是最快速而有效的方式;可是，攻擊的目的就是要使正常使用者沒法使用服務，更改IP的方式雖然避開攻擊，以另外一角度來看黑客也達到了他的目的。此外，假如攻擊的手法較爲單純，能夠由產生的流量找出其規則，那麼利用路由器的ACLs(AccessControlLists)或防火牆規則也許能夠阻擋，若能夠發現流量都是來自同一來源或核心路由器，能夠考慮暫時將那邊的流量擋起來，固然這仍是有可能將正常和異常的流量都一併擋掉，但至少其餘來源能夠獲得正常的服務，這也是不得已的犧牲。此外，還能夠考慮增長機器或頻寬做爲被攻擊的緩衝之用，但這只是治標不治本的作法。最重要的是，必須當即着手調查並與相關單位協調解決。

　　四、預防DDoS攻擊

　　預防DDoS攻擊必須透過網絡上各個團體和使用者的共同合做，制定更嚴格的網絡標準來解決。每臺網絡設備或主機都須要隨時更新其系統漏洞、關閉不須要的服務、安裝必要的防毒和防火牆軟件、隨時注重系統安全，避免被黑客和自動化的DDoS程序植入攻擊程序，以避免成爲黑客攻擊的幫兇。網絡管理人員可採起如下方法作好預防工做。

　　4.1節點

　　掃描網絡管理員要按期掃描網絡節點，分析並發現可能存在的安全漏洞，對新出現的漏洞及時進行修補。特別是骨幹點的計算機，因爲須要佔用較高的帶寬，所以，對這些主機自己增強主機安全是很是重要的。並且，鏈接到網絡主節點的都是服務器級別的計算機，因此，按期掃描漏洞就變得更加劇要了。

　　4.2配置防火牆

　　防火牆自己具有了抵禦部分DDoS攻擊的能力。在發現攻擊行爲存在時，能夠犧牲備用設備引導攻擊數據流，這樣能夠減輕或避免正常業務的順利進行。固然若是企業或用戶對網絡的要求很高，筆者建議設立專用的服務器來防止DDoS攻擊。

　　4.3充分利用網絡設備

　　保護網絡資源合理配置使用路由器、防火牆等網絡設備，它們可將網絡有效地保護起來。相對服務器的重啓，網絡路由器等網絡設備的重啓要容易得多，並且服務器數據不會有太多的損失。負載均衡技術的使用，能夠在攻擊發生時自動均衡設備的使用狀況，最大限度地下降DDoS的攻擊。

　　4.4過濾服務及端口

　　在默認狀況下，服務器的不少端口是開放的，用戶可使用防火牆或一些管理軟件來過濾沒必要要的服務和端口。只開放服務端口成爲保障網絡安全的流行作法，例如，用戶可能會常常看到一個服務器只開放80端口等。

　　4.5檢查訪問者的來源

　　經過反向路由器查詢的方法檢查訪問者的IP地址是不是真，若是發現虛假IP，應當即將其屏蔽。黑客在攻擊時常採用假IP隱藏本身，所以，網絡管理員有必要了解本身網絡的用戶訪問狀況。

　　4.6過濾全部被保留的IP地址

　　咱們知道相似10.0.0.0、192.168.0.0和172.16.0.0這樣的IP，並非某個網段的固定IP地址，而是Internet內部保留的區域性IP地址，網絡管理員應把被保留的IP過濾掉。

　　4.7限制SYN/ICMP流量

　　用戶應在防火牆上配置SYN/ICMP的最大流量來限制SYN/ICMP所能佔用的最大帶寬。當出現大量的超過限定的SYN/ICMP流量時，管理員須要當即排查區分是否存在非法攻擊行爲。限制SYN/ICMP也是過去對付DDoS攻擊最常使用的。據有關報道，電信級運營商已經開始積極運作，準備推出一系列的安全增值服務，IDC服務器託管商也已經積極行動起來，避免用戶免受DDoS攻擊的侵害，安全廠商更是在積極研究DDoS攻擊的原理及防護措施，力求最大限度地扼殺DDoS攻擊。筆者認爲，任何個體是很難防護住巨大的數據流攻擊，只有運營商、企業以及安全廠商共同聯合起來，才能更好地克服DDoS給用戶帶來的傷害。

本篇文章來源於 黑基網-中國最大的網絡安全站點 原文連接：http://www.hackbase.com/tech/2013-07-25/67671.html

 

 

 

相關資料來源：http://www.hackbase.com/