DDoS 攻击全名是 distributed denial-of-service attack,分布式拒绝攻击,是由DoS(denial-of-service)攻击发展而来。
攻击原理是利用合理的服务请求来占用过多的服务资源,从而使服务器无法处理合法用户的指令。DDoS 攻击利用处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器(傀儡机)并利用这些机器对受害者同时实施攻击。
DDoS 攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。
一、DDoS 常见攻击类型:
ICMP 泛洪:该攻击通过向目标 IP 发送大量 ICMP 包,占用带宽,从而导致合法报文无法达到目的地,达到攻击目的。 Smurf 攻击:攻击者先使用受害主机的地址,向一个广播地址发送 ICMP 回响请求,在此广播网络上,潜在的计算机会做出响应,大量响应将发送到受害主机,此攻击后果同 ICMP 泛洪,但比之更为隐秘。 SYN 泛洪:蓄意侵入 tcp 三次握手并打开大量的 TCP/IP 连接而进行的攻击,该攻击利用 IP 欺骗,向受害者的系统发送看起来合法的 SYN 请求,而事实上该源地址不存在或当时不在线,因而回应的 ACK 消息无法到达目的,而受害者的系统被大量的这种半开连接充满,资源耗尽,而合法的连接无法被响应。 UDP 泛洪:该攻击通过向目标 IP 发送大量 UDP 包,占用带宽,消耗资源。 Fraggle 攻击:该攻击是 smurf 的变种,针对防火墙对 ICMP 包检查比较严格的前提下,不再向广播地址发 ICMP 请求包,而是改为发送 UDP 包。 Small-packet 攻击:IP 小报文攻击是发送大量的小报文到被攻击系统来消耗系统的资源。 bad mac intercept:目的 MAC 地址等于源 MAC 地址的报文攻击。 bad ip equal:目的 IP 地址等于源 IP 地址的报文攻击。二、防御方法:
关闭不必要的服务。 限制同时打开的 SYN 半连接数目。 缩短 SYN 半连接的 time out 时间。 正确设置防火墙 禁止对主机的非开放服务的访问 限制特定 IP 地址的访问 启用防火墙的防 DDoS 的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。 使用 unicast reverse-path 访问控制列表(ACL)过滤, 设置 SYN 数据包流量速率,升级版本过低的 ISO 为路由器建立 log server 能够了解 DDoS 攻击的原理,对我们防御的措施在加以改进,我们就可以挡住一部分的 DDoS 攻击。
