巧妙的化解DDoS分布式拒绝服务攻击
对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题。
一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标。和交通堵塞一样,DDoS已经成为一种网络公害。
传统防护:有心无力
防止DDoS攻击,比较常用的有黑洞法、设置路由访问控制列表过滤和串联防火墙安全设备等几种
黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放到黑洞里面去扔掉。这个做法能够在攻击流量过来的时候,将所有攻击拒之门外,保证对整个骨干网不造成影响,但它同时也将正常流量挡在了门外,造成服务器无法向外部提供服务,中断了与用户的联系。
设置路由访问控制列表过滤: 这种方法企业用户自己不去部署,而是由电信等服务提供商对骨干网络进行配置,在路由器上进行部署。现在路由器上的部署就是两种方式,一种是ACL——作访问控制列表,还有一种方式是做数据限制。这两种方式都可以归结为ACL,它的最大问题是如果攻击来自于互联网,将很难去制作面向源地址的访问列表,因为源地址出处带有很大的随意性,无法精确定位,惟一能做的就是就面向目的地址的ACL,把面向这个服务器的访问控制量列出来,将所有请求连接的数据包统统扔掉,用户的服务将受到极大影响。另外一个缺陷就是在电信骨干上设置这样的访问控制列表将给访问控制量管理带来极大困难。而且采用这种方法还带有很大的局限性,它无法识别虚假和针对应用层的攻击。
串联的防火墙安全设备:对付DDoS攻击,还有一种是采用防火墙串联的方法,对于流量已达几十个G的运营商骨干网络来说,由于防火墙能力和技术水平所限,几个G的防火墙设备很容易就会超载导致网络无法正常运行,而且具有DDoS防护功能的防火墙吞吐量会更低,即使是防火墙中的“顶尖高手”也是有心无力,无法担此重任。另外采用这样的方法无法保护上行的设备,缺乏扩展性,还有就是无法有效的保护面向用户的资源。
解决之道在“智能”
从以上分析不难看,传统对付DDoS的方法效率不高,而且还存在着一些无法克服和解决的问题。智能化DDoS防护系统是由检测器和防护器两部分构成。它具有使用方便,部署简单,无需改变网络原先构架,实行动态防护等优点,从根本上解决了DDoS的防护问题。
防护器采用并联方式连接在骨干网络当中,对网络结构没有任何影响。当网络中有不良流量对网络进行攻击时,检测器会向防护器发出报警,这样DDoS防护器就能知道网络中服务器被攻击的情况,攻击的目的以及来自哪些地址。这时防护器立即启动开始工作,通知路由器,将面向这些地址的流量全部都发送到防护器,暂时接管了网络中的这些数据流量,并对其进行分析和验证,所有非法恶意流量将在这里被截获丢弃,而正常的流量和数据将被继续传送到目的地。
相关推荐
-
巧妙的化解DDoS分布式拒绝服务攻击
对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题. 一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标.和交通堵塞一样,DDoS已经成为一种网络公害. 传统防护:有心无力 防止DDoS攻击,比较常用的有黑洞法.设置路由访问控制列表过滤和串联防火墙安全设备等几种 黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放
-
Cisco路由器防止分布式拒绝服务攻击
1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果 CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它. 单一地址反向传输路径转发(Unicast
-
冲浪DDoS(拒绝服务)攻击的趋势与防御
一.阻断服务(Denial of Service) 在探讨DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话.而以网络来说,由于频宽.网络设备和服务器主机等处理的能力都有其限制,因此当黑客产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务.例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢. DoS 攻击并非入侵主机也不
-
从断网事件分析DNS服务器拒绝服务攻击
事件原因和分析 此次事件是一次联动事件,主要分为两个部分: 1.DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞. 2.暴风影音的大量频繁的向电信DNS主服务器发起解析.导致各地区电信主DNS服务器超负荷. 暴风影音作为广泛使用的软件,有成千上万的用户安装使用.然而其DNS解析机制存在缺陷.暴风公司仅仅在DNSPod站内部署了
-
分析python服务器拒绝服务攻击代码
复制代码 代码如下: # -*- coding: cp936 -*-from scapy.all import *from threading import Thread,activeCountfrom random import randint class Loop(Thread): def __init__(self,remoteAddr): Thread.__init__(self) self.remoteAddr = remoteAddr def run
-
配置Nginx服务器防止Flood攻击的方法
测试 我会简单的告诉你如何配置Nginx的限制请求模块并且它是如何保护你的网站,防止你被攻击与DDOS或是其他基于HTTP的拒绝服务攻击. 这个测试中,我将样本页在保存在Blitz.io(现在是免费服务)命名为about.html,用于测试limit_req指令. 首先,我在Blitz上使用下面的指令,用来发起1075个并发请求并且持续一分钟,响应超时设置为2分钟,区域为加州,同时设置了除掉状态200以外的其他状态全部为异常状态,甚至是503都被认为是没有成功. -p 1-1075:60 --
-
浅谈利用JavaScript进行的DDoS攻击原理与防御
分布式拒绝服务攻击(DDoS)攻击是一种针对网站发起的最古老最普遍的攻击.Nick Sullivan是网站加速和安全服务提供商CloudFlare的一名系统工程师.近日,他撰文介绍了攻击者如何利用恶意网站.服务器劫持和中间人攻击发起DDoS攻击,并说明了如何使用HTTPS以及即将到来的名为"子资源一致性(Subresource Integrity,简称SRI)"的Web新技术保护网站免受攻击. 现代网站的大部分交互都来自于JavaScript.网站通过直接向HTML中添加JavaScr
-
防御DDoS攻击实用指南 守住你的网站
一.为何要DDoS? 随着Internet互联网络带宽的增加和多种DDoS黑客工具的不断发布,DDoS拒绝服务攻击的实施越来越轻易,DDoS攻击事件正在成上升趋势.出于商业竞争.打击报复和网络敲诈等多种因素,导致很多IDC托管机房.商业站点.游戏服务器.聊天网络等网络服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉.同虚拟主机用户受牵连.法律纠纷.商业损失等一系列问题,因此,解决DDoS攻击问题成为网络服务商必须考虑的头等大事. 二.什么是DDoS? DDoS是英文Distribut
-
巧妙修改Win2k注册表抵抗拒绝服务
所谓拒绝服务,是指在特定攻击发生后,被攻击的对象不能及时提供应有的服务,例如本来应提供网站服务(HTTP Service)而不能提供网站服务,电子邮件服务器(SMTP,POP3)不能提供收发信件等等的功能,基本上,阻绝服务攻击通常利用大量的网络数据包,以瘫痪对方之网络及主机,使得正常的使用者无法获得主机及时的服务. 从正确看待DoS与DDoS说起 相信大家都一定不会对这两个这个词感到陌生,是的,拒绝服务攻击(Denial of Service),以及分布式拒绝服务攻击(Distributed D
-
小规模DDoS用Freebsd+IPFW搞定
编者按:本文讨论的方法只是针对小规模的恶意攻击比较有效. 笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务.曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击).由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了. 一.Freebsd的魅力 发