- 道德黑客教程
- 道德黑客 - 首页
- 道德黑客 - 概述
- 道德黑客 - 黑客类型
- 道德黑客 - 著名的黑客
- 道德黑客 - 术语
- 道德黑客 - 工具
- 道德黑客 - 技能
- 道德黑客 - 流程
- 道德黑客 - 侦察
- 道德黑客 - 踩点
- 道德黑客 - 指纹识别
- 道德黑客 - 嗅探
- 道德黑客 - 嗅探工具
- 道德黑客 - ARP 欺骗
- 道德黑客 - DNS 欺骗
- 道德黑客 - 利用
- 道德黑客 - 枚举
- 道德黑客 - Metasploit
- 道德黑客 - 木马攻击
- 道德黑客 - TCP/IP 劫持
- 道德黑客 - 邮件劫持
- 道德黑客 - 密码破解
- 道德黑客 - 无线黑客
- 道德黑客 - 社会工程
- 道德黑客 - 分布式拒绝服务攻击
- 道德黑客 - 跨站脚本攻击
- 道德黑客 - SQL 注入
- 道德黑客 - 渗透测试
- 道德黑客有用资源
- 道德黑客 - 快速指南
- 道德黑客 - 有用资源
- 道德黑客 - 讨论
道德黑客 - 分布式拒绝服务攻击
分布式拒绝服务 (DDoS) 攻击是试图通过从多个来源产生的大量流量来使在线服务或网站不可用的尝试。
与拒绝服务 (DoS) 攻击不同,DoS 攻击使用一台计算机和一个互联网连接来用数据包淹没目标资源,而 DDoS 攻击使用许多计算机和许多互联网连接,通常在被称为僵尸网络的全球分布式网络中。
大规模的容量型 DDoS 攻击产生的流量以每秒数十吉比特(甚至数百吉比特)来衡量。我们相信您的普通网络无法处理此类流量。
什么是僵尸网络?
攻击者通过电子邮件、网站和社交媒体传播恶意代码,构建了一个被称为僵尸网络的黑客机器网络。一旦这些计算机被感染,它们就可以被远程控制,而无需其所有者的知情,并像一支军队一样用于对任何目标发动攻击。
DDoS 洪水可以通过多种方式产生。例如:
僵尸网络可以用来发送比服务器一次可以处理的连接请求更多的请求。
攻击者可以使计算机向受害者资源发送大量随机数据以耗尽目标的带宽。
由于这些机器的分布式性质,它们可以用来产生难以处理的分布式高流量。最终导致服务的完全阻塞。
DDoS 攻击的类型
DDoS 攻击可以大致分为三类:
- 基于容量的攻击
- 协议攻击
- 应用层攻击
基于容量的攻击
基于容量的攻击包括 TCP 洪水、UDP 洪水、ICMP 洪水和其他伪造数据包洪水。这些也被称为第 3 层和第 4 层攻击。攻击者试图饱和目标站点的带宽。攻击强度以每秒比特数 (bps) 衡量。
UDP 洪水 - UDP 洪水用于用大量 UDP 数据包(更具体地说,是端口号 53)淹没远程主机上的随机端口。专用防火墙可用于过滤或阻止恶意 UDP 数据包。
ICMP 洪水 - 这类似于 UDP 洪水,用于用大量 ICMP 回显请求淹没远程主机。这种类型的攻击会消耗出站和入站带宽,大量 ping 请求会导致整体系统速度变慢。
HTTP 洪水 - 攻击者向目标 Web 服务器发送大量 HTTP GET 和 POST 请求,这些请求无法由服务器处理,导致无法从合法客户端建立其他连接。
放大攻击 - 攻击者发出一个请求,该请求会生成一个大型响应,其中包括对大型 TXT 记录的 DNS 请求和对大型文件(如图像、PDF 或任何其他数据文件)的 HTTP GET 请求。
协议攻击
协议攻击包括 SYN 洪水、死亡之 ping、分段数据包攻击、Smurf DDoS 等。这种类型的攻击会消耗服务器资源和其他资源,例如防火墙和负载均衡器。攻击强度以每秒数据包数衡量。
DNS 洪水 - DNS 洪水用于攻击基础设施和 DNS 应用程序,以压倒目标系统并消耗其所有可用网络带宽。
SYN 洪水 - 攻击者发送 TCP 连接请求的速度比目标机器能够处理的速度快,导致网络饱和。管理员可以调整 TCP 堆栈以减轻 SYN 洪水的影响。为了减少 SYN 洪水的影响,您可以减少堆栈释放分配给连接的内存的超时时间,或者使用防火墙或iptables选择性地丢弃传入连接。
死亡之 ping - 攻击者使用简单的 ping 命令发送格式错误或过大的数据包。IP 允许发送 65,535 字节的数据包,但发送大于 65,535 字节的 ping 数据包违反了互联网协议,可能会导致目标系统内存溢出,最终使系统崩溃。为了避免死亡之 ping 攻击及其变体,许多站点在其防火墙上完全阻止 ICMP ping 消息。
应用层攻击
应用层攻击包括 Slowloris、零日 DDoS 攻击、针对 Apache、Windows 或 OpenBSD 漏洞的 DDoS 攻击等等。目标是使 Web 服务器崩溃。攻击强度以每秒请求数衡量。
应用攻击 - 这也称为第 7 层攻击,其中攻击者进行过多的登录、数据库查找或搜索请求以使应用程序过载。很难检测第 7 层攻击,因为它们类似于合法的网站流量。
Slowloris - 攻击者向目标 Web 服务器发送大量 HTTP 标头,但从未完成请求。目标服务器保持每个这些虚假连接的打开状态,最终使最大并发连接池溢出,并导致无法从合法客户端建立其他连接。
NTP 放大 - 攻击者利用公开可访问的网络时间协议 (NTP) 服务器来用用户数据报协议 (UDP) 流量压倒目标服务器。
零日 DDoS 攻击 - 零日漏洞是供应商以前未知的系统或应用程序缺陷,尚未修复或修补。这些是每天都在出现的新型攻击,例如利用尚未发布补丁的漏洞。
如何修复 DDoS 攻击
您可以根据 DDoS 攻击的类型应用相当多的 DDoS 防护选项。
您的 DDoS 防护始于识别和关闭系统中所有可能的 OS 和应用程序级漏洞,关闭所有可能的端口,从系统中删除不必要的访问权限,并将服务器隐藏在代理或 CDN 系统后面。
如果您看到低强度的 DDoS,那么您可以找到许多基于防火墙的解决方案,这些解决方案可以帮助您过滤掉基于 DDoS 的流量。但是,如果您遇到高容量的 DDoS 攻击(例如吉比特甚至更多),那么您应该寻求 DDoS 防护服务提供商的帮助,他们提供更全面、主动和真正的方法。
选择 DDoS 防护服务提供商时必须小心谨慎。许多服务提供商想利用您的困境。如果您告诉他们您正在遭受 DDoS 攻击,那么他们将开始以不合理的高昂价格向您提供各种服务。
我们可以建议您一个简单有效的解决方案,该方案从寻找一个足够灵活的优秀 DNS 解决方案提供商开始,该提供商可以为您的网站配置 A 和 CNAME 记录。其次,您需要一个优秀的 CDN 提供商,该提供商可以处理大型 DDoS 流量,并将其 DDoS 防护服务作为其 CDN 包的一部分提供。
假设您的服务器 IP 地址为 AAA.BBB.CCC.DDD。然后您应该执行以下 DNS 配置:
在 DNS 区域文件中创建如下所示的A 记录,使用 DNS 标识符(例如,ARECORDID),并将其对外部世界保密。
现在,请您的 CDN 提供商将创建的 DNS 标识符与 URL 链接起来,例如cdn.someotherid.domain.com。
您将使用 CDN URL cdn.someotherid.domain.com 创建两个 CNAME 记录,第一个指向www,第二个记录指向@,如下所示。
您可以寻求系统管理员的帮助以了解这些要点并适当地配置您的 DNS 和 CDN。最后,您的 DNS 将具有以下配置。
现在,让 CDN 提供商处理所有类型的 DDoS 攻击,您的系统将保持安全。但前提是您不应向任何人透露您的系统 IP 地址或 A 记录标识符;否则,直接攻击将再次开始。
快速修复
DDoS 攻击比以往任何时候都更加普遍,不幸的是,这个问题没有快速解决方案。但是,如果您的系统正在遭受 DDoS 攻击,请不要惊慌,并逐步调查此事。