原理
拒絕服務(wù)攻擊的主要目的是使被攻擊的網(wǎng)絡(luò)或服務(wù)器不能提供正常的服務(wù)租谈。web服務(wù)器在一定時(shí)間內(nèi)只能處理一定量的通信稚机,如果通信量超過(guò)了服務(wù)器承受的限度屁奏,服務(wù)器將會(huì)癱瘓眯搭。拒絕服務(wù)攻擊就是向某臺(tái)主機(jī)發(fā)送大量請(qǐng)求合冀,使其無(wú)法響應(yīng)正常的請(qǐng)求各薇。比如每年春運(yùn)時(shí)候的12306,大量用戶(hù)涌入導(dǎo)致網(wǎng)站癱瘓水慨,這就是一次現(xiàn)實(shí)版的DDoS攻擊得糜。
DDoS(分布式拒絕服務(wù)攻擊)是在傳統(tǒng)的DoS攻擊基礎(chǔ)上敬扛,利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻。整個(gè)DDoS攻擊體系可分為4部分:黑客朝抖、控制傀儡機(jī)啥箭、攻擊傀儡機(jī)、受害者治宣。黑客通過(guò)控制傀儡機(jī)向攻擊傀儡機(jī)發(fā)送攻擊命令急侥,攻擊傀儡機(jī)展開(kāi)對(duì)目標(biāo)主機(jī)的DoS攻擊
典型的拒絕服務(wù)攻擊手段
- SYN湮沒(méi):這種攻擊向服務(wù)器發(fā)送海量SYN信息,該信息中攜帶的源地址根本不可用侮邀,但是服務(wù)器會(huì)當(dāng)真的SYN請(qǐng)求處理坏怪,當(dāng)服務(wù)器嘗試為每個(gè)請(qǐng)求分配連接來(lái)應(yīng)答這些SYN請(qǐng)求時(shí),就沒(méi)有其他資源來(lái)處理用戶(hù)真正合法的請(qǐng)求了绊茧。
- Land攻擊:Land攻擊中铝宵,SYN數(shù)據(jù)包的源地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址,這將導(dǎo)致接收到這個(gè)SYN包的服務(wù)器將向它自己發(fā)送SYN-ACK包华畏,結(jié)果又自己返回ACK消息并建立一個(gè)空連接鹏秋。每個(gè)這樣的連接都將保持到超時(shí)。
應(yīng)對(duì)之道
- 首頁(yè)靜態(tài)化
- 為服務(wù)器購(gòu)買(mǎi)更大的帶寬
- 聯(lián)系運(yùn)營(yíng)商進(jìn)行流量清洗
- 使用云主機(jī)
- 封殺IP
更多參見(jiàn):知乎:互聯(lián)網(wǎng)創(chuàng)業(yè)公司如何防御 DDoS 攻擊亡笑?
