常見ddos攻擊及防御
ddos的全稱是分布式拒絕服務(wù)攻擊�,既然是拒絕服務(wù)一定是因為某些原因而停止服務(wù)的����,其中最重要的也是最常用的原因就是利用服務(wù)端方面資源的有限性����,這種服務(wù)端的資源范圍很廣�,可以簡單的梳理一個請求正常完成的過程:
1����, 用戶在客戶端瀏覽器輸入請求的地址���。
2 ���,瀏覽器解析該請求,包括分析其中的dns以明確需要到達(dá)的遠(yuǎn)程服務(wù)器地址����。
3 ��,明確地址后瀏覽器和服務(wù)器的服務(wù)嘗試建立連接�,嘗試建立連接的數(shù)據(jù)包通過本地網(wǎng)絡(luò)�����,中間路由最終艱苦到達(dá)目標(biāo)網(wǎng)絡(luò)再到達(dá)目標(biāo)服務(wù)器�����。
4 ����,網(wǎng)絡(luò)連接建立完成之后瀏覽器根據(jù)請求建立不同的數(shù)據(jù)包并且將數(shù)據(jù)包發(fā)送到服務(wù)器某個端口。
5 ����,端口映射到進(jìn)程���,進(jìn)程接受到數(shù)據(jù)包之后進(jìn)行內(nèi)部的解析�����。
發(fā)送郵件要注意
服務(wù)器對外傳送信息會泄漏IP����,最常見的是�,服務(wù)器不使用發(fā)送郵件功能。如果一定要發(fā)送郵件�,可以通過第三方代理(例如sendcloud)發(fā)送,這樣顯示出來的IP是代理IP���。 不難發(fā)現(xiàn)服務(wù)器防黑最根本的措施就是隱藏IP,只要不泄露真實IP地址�,10G以下小流量DDOS的預(yù)防還是非常簡單的,免費(fèi)的CDN就可以應(yīng)付得了�����。如果攻擊流量超過20G�����,那么免費(fèi)的CDN可能就頂不住了��,使用高防主機(jī)才能確保網(wǎng)站安全。最后重要的事情再說一遍服務(wù)器的真實IP是需要隱藏的����。
采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸�����,因此選擇路由器、交換機(jī)����、硬件防火墻等設(shè)備的時候要盡量選用知名度高��、口碑好的產(chǎn)品�。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了��,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點(diǎn)處做壹下流量限制來對抗某些種類的DDOS攻擊是非常有效的���。
如何保護(hù)你的網(wǎng)絡(luò)
正如你所見��,DDoS攻擊五花八門�����,防不勝防�,當(dāng)你想建立一個防御系統(tǒng)對抗DDoS的時候�����,你需要掌握這些攻擊的變異形態(tài)����。
最笨的防御方法���,就是花大價錢買更大的帶寬�。拒絕服務(wù)就像個游戲一樣�����。如果你使用10000個系統(tǒng)發(fā)送1Mbps的流量��,那就意味著你輸送給你的服務(wù)器每秒鐘10Gb的數(shù)據(jù)流量�。這就會造成擁堵�����。這種情況下��,同樣的規(guī)則適用于正常的冗余。這時����,你就需要更多的服務(wù)器,遍布各地的數(shù)據(jù)中心����,和更好的負(fù)載均衡服務(wù)了�。將流量分散到多個服務(wù)器上,幫助你進(jìn)行流量均衡����,更大的帶寬能夠幫你應(yīng)對各種大流量的問題�����。但現(xiàn)代的DDoS攻擊越來越瘋狂���,需要的帶寬越來越大����,你的財政狀況根本不允許你投入更多的資金��。另外�,絕大多數(shù)的時候�,你的網(wǎng)站并不是主要攻擊目標(biāo),很多管理員都忘了這一點(diǎn)��。
Linux是一套免費(fèi)使用和自由傳播的類Unix操作系統(tǒng)�����,是一個基于POSIX和UNIX的多用戶��、多任務(wù)����、支持多線程和多CPU的操作系統(tǒng)�����。它能運(yùn)行主要的UNIX工具軟件、應(yīng)用程序和網(wǎng)絡(luò)協(xié)議���。它支持32位和64位硬件���。Linux繼承了Unix以網(wǎng)絡(luò)為核心的設(shè)計思想�,是一個性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)��。它主要用于基于Intel x86系列CPU的計算機(jī)上�。這個系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計和實現(xiàn)的����。其目的是建立不受任何商品化軟件的版權(quán)制約的����、全世界都能自由使用的Unix兼容產(chǎn)品。
方法一:
先說這個簡單效果不大的方法��,Linux一般是apache做web服務(wù)軟件��,一般來說按照訪問習(xí)慣全是設(shè)置的80端口���。你可以改變一下服務(wù)端口,編輯httpd.conf文件��,Linux下不清楚路徑可以ind / -name httpd.conf然后vi $path$/httpd.conf找到里面的listen:80�����,更改為listen:8080���。重新啟動apache,這樣你的站點(diǎn)就運(yùn)行在8080端口下了�����。
科技在發(fā)展��,黑客的技術(shù)也在發(fā)展。正所謂道高一尺��,魔高一仗�。經(jīng)過無數(shù)次當(dāng)機(jī),黑客們終于又找到一種新的DoS攻擊方法��,這就是DDoS攻擊�����。它的原理說白了就是群毆�����,用好多的機(jī)器對目標(biāo)機(jī)器一起發(fā)動DoS攻擊,但這不是很多黑客一起參與的�����,這種攻擊只是由一名黑客來操作的����。這名黑客不是擁有很多機(jī)器����,他是通過他的機(jī)器在網(wǎng)絡(luò)上占領(lǐng)很多的“肉雞”,并且控制這些“肉雞”來發(fā)動DDoS攻擊��,要不然怎么叫做分布式呢����。
到目前為止,進(jìn)行DDoS攻擊的防御還是比較困難的�����。首先�,這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞����,除非你不用TCP/IP��,才有可能完全抵御住DDoS攻擊��。不過這不等于我們就沒有辦法阻擋DDoS攻擊�,我們可以盡力來減少DDoS的攻擊�。下面就是一些防御方法:
