📜  道德黑客-DDOS攻击

📅  最后修改于: 2020-12-06 12:14:16             🧑  作者: Mango


分布式拒绝服务(DDoS)攻击是通过使来自多个来源的大量流量过载而使在线服务或网站不可用的尝试。

与拒绝服务(DoS)攻击不同,在拒绝服务(DoS)攻击中,一台计算机和一个Internet连接用于向目标资源充斥数据包,而DDoS攻击则使用许多计算机和许多Internet连接,这些攻击通常在全球范围内被称为僵尸网络。

大规模的DDoS大规模攻击可以每秒产生数十吉比特(甚至数百吉比特)的流量。我们确定您的正常网络将无法处理此类流量。

什么是僵尸网络?

攻击者通过通过电子邮件,网站和社交媒体传播恶意代码,建立了被称为僵尸网络的被黑客机器网络。一旦这些计算机被感染,就可以在所有者不知情的情况下对其进行远程控制,并像军队一样对任何目标发动攻击。

DDOS系统

DDoS泛洪可以通过多种方式生成。例如-

  • 僵尸网络可用于发送比服务器一次处理更多数量的连接请求。

  • 攻击者可能使计算机向受害者资源发送大量随机数据,以耗尽目标的带宽。

由于这些机器的分布式特性,它们可用于生成可能难以处理的分布式高流量。最终导致服务的完全阻塞。

DDoS攻击类型

DDoS攻击大致可分为三类-

  • 基于卷的攻击
  • 协议攻击
  • 应用层攻击

基于卷的攻击

基于卷的攻击包括TCP泛洪,UDP泛洪,ICMP泛洪和其他欺骗性数据包泛洪。这些也称为第3层和第4层攻击。在这里,攻击者试图使目标站点的带宽饱和。攻击强度以每秒位数(bps)为单位。

  • UDP泛洪-UDP泛洪用于泛洪具有大量UDP数据包的远程主机上的随机端口,更具体地说是端口号53。专用防火墙可用于过滤或阻止恶意UDP数据包。

  • ICMP Flood-与UDP Flood类似,用于用大量ICMP Echo Request泛洪远程主机。这种类型的攻击会占用传出和传入带宽,大量的ping请求将导致整个系统变慢。

  • HTTP Flood-攻击者将HTTP GET和POST请求大量发送到目标Web服务器,服务器无法处理,并导致来自合法客户端的其他连接被拒绝。

  • 放大攻击-攻击者发出的请求会产生较大的响应,其中包括对大型TXT记录的DNS请求和对大型文件(如图像,PDF或任何其他数据文件)的HTTP GET请求。

协议攻击

协议攻击包括SYN泛洪,死亡Ping,分段数据包攻击,Smurf DDoS等。这种类型的攻击会消耗实际的服务器资源以及其他资源,例如防火墙和负载平衡器。攻击强度以每秒包数为单位。

  • DNS洪水-DNS洪水用于攻击基础设施和DNS应用程序,以淹没目标系统并消耗其所有可用网络带宽。

  • SYN Flood-攻击者发送TCP连接请求的速度超过了目标计算机可以处理它们的速度,从而导致网络饱和。管理员可以调整TCP堆栈,以减轻SYN泛洪的影响。为了减少SYN Flood的影响,您可以减少超时,直到堆栈释放分配给连接的内存,或者使用防火墙或iptables有选择地删除传入的连接。

  • Ping of Death-攻击者使用简单的ping命令发送格式错误或过大的数据包。 IP允许发送65,535字节的数据包,但发送大于65,535字节的ping数据包违反了Internet协议,并可能导致目标系统上的内存溢出,最终导致系统崩溃。为了避免Ping of Death攻击及其变种,许多站点在其防火墙处完全阻止ICMP ping消息。

应用层攻击

应用层攻击包括Slowloris,零日DDoS攻击,针对Apache,Windows或OpenBSD漏洞的DDoS攻击等等。这里的目标是使Web服务器崩溃。攻击强度以每秒请求数衡量。

  • 应用程序攻击-这也称为第7层攻击,攻击者在其中进行过多的登录,数据库查找或搜索请求,从而使应用程序超载。很难检测到第7层攻击,因为它们类似于合法的网站流量。

  • Slowloris-攻击者将大量HTTP标头发送到目标Web服务器,但从未完成请求。目标服务器使所有这些错误连接保持打开状态,并最终使最大并发连接池溢出,并导致拒绝来自合法客户端的其他连接。

  • NTP放大-攻击者利用公共可访问的网络时间协议(NTP)服务器用用户数据报协议(UDP)流量淹没目标服务器。

  • 零日DDoS攻击-零日漏洞是供应商以前未知的系统或应用程序漏洞,尚未修复或修补。这些是新型攻击,并且每天都在发生,例如,利用尚未发布补丁程序的漏洞。

如何修复DDoS攻击

根据DDoS攻击的类型,可以应用许多DDoS保护选项。

DDoS保护从识别并关闭系统中所有可能的OS和应用程序级别漏洞,关闭所有可能的端口,从系统中删除不必要的访问以及将服务器隐藏在代理服务器或CDN系统之后开始。

如果您发现DDoS的数量很少,则可以找到许多基于防火墙的解决方案,它们可以帮助您过滤掉基于DDoS的流量。但是,如果您有大量的DDoS攻击(例如千兆字节甚至更多),则应寻求DDoS防护服务提供商的帮助,该提供商将提供更全面,主动和真实的方法。

在接近和选择DDoS防护服务提供商时,您必须小心。有许多服务提供商希望利用您的情况。如果您告知他们您受到DDoS攻击,那么他们将以不合理的高昂费用向您提供各种服务。

我们可以为您提供一个简单而有效的解决方案,该方法首先是寻找一个好的DNS解决方案提供商,该提供商要足够灵活地为您的网站配置A和CNAME记录。其次,您将需要一个优秀的CDN提供程序,该提供程序可以处理较大的DDoS流量并作为CDN包的一部分为您提供DDoS保护服务。

假设您的服务器IP地址为AAA.BBB.CCC.DDD。然后您应该执行以下DNS配置-

  • 如下所示,使用DNS标识符(例如ARECORDID)在DNS区域文件中创建A记录,并将其对外界保密。

  • 现在,请您的CDN提供程序将创建的DNS标识符与URL链接,例如cdn.someotherid.domain.com

  • 您将使用CDN URL cdn.someotherid.domain.com创建两个CNAME记录,第一个指向www ,第二个指向@。如下所示。

您可以从系统管理员那里获得帮助,以了解这些要点并适当地配置DNS和CDN。最后,您将在DNS上进行以下配置。

DNS配置

现在,让CDN提供程序处理所有类型的DDoS攻击,您的系统将保持安全。但是这里的条件是您不应该向任何人透露系统的IP地址或A记录标识符。否则直接攻击将再次开始。

快速解决

DDoS攻击比以往任何时候都更加普遍,不幸的是,没有针对此问题的快速解决方案。但是,如果您的系统受到DDoS攻击,请不要慌张并逐步进行调查。