欢迎光临
我们一直在努力

ddos是什么攻击(ddos攻击原理与防御方法)

在最近的采访中,我想问一个问题:你知道DDoS攻击吗?说说它的原理。大概不到1/3的说的比较清楚。其实像世界各大互联网公司都吃了不少DDO。

攻击ddos是什么攻击(ddos攻击原理与防御方法)

ddos是什么攻击(ddos攻击原理与防御方法)

2018年,GitHub瞬间被高达1.35Tbps的带宽攻击。这种DDoS攻击几乎可以称得上是互联网历史上规模最大、威力最大的DDoS攻击。GitHub被攻击后,仅仅一周后,DDoS攻击就开始攻击谷歌、亚马逊甚至Pornhub等网利用站。后续DDoS攻击的最大带宽也达到了1Tbps。

那 DDoS 攻击究竟是什么?

DDos全称分布式拒绝服务,翻译成中文就是分布式拒绝服务。指多个不同位置的攻击者同时攻击一个或几个目标,是一种分布式协同的大规模攻击模式。单一的DoS攻击通常采用一对一的方式,利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略进行网络攻击,使网站服务器充斥大量需要回复的信息,消耗网络带宽或系统资源,导致网络或系统不堪重负,停止提供正常的网络服务。

下面给一个更加形象点的例子,解释下DDoS攻击。

开了一家50座的重庆火锅店。因为材料优越,没有霸凌。平时市场热闹,生意特别红火,二狗屋对面的火锅店却无人问津。为了对付我,二狗想了个办法,叫50个人坐在我的火锅店不点菜,让其他客人吃不下。

以上例子是典型的DDoS攻击。一般来说是指攻击者利用“肉鸡”在短时间内对目标网站进行大量请求,大规模消耗目标网站的主机资源,使其无法正常服务。网络游戏、互联网金融等领域是DDoS攻击的高发行业。

攻击有很多,比如ICMP Flood、UDP Flood、NTP Flood、SYN Flood、CC攻击、DNS查询Flood等等。

下面是SYN Flood进行DDoS攻击的实现原理

SYN Flood是一种利用TCP协议的缺陷,发送大量伪造的TCP连接请求,从而耗尽被攻击方资源(CPU满或内存不足)的攻击方法。

正常的TCP连接需要三次握手:客户端发送SYN消息,服务器接收请求并返回消息表示接受,客户端也返回确认完成连接。

SYN Flood是指用户在向服务器发送消息后突然崩溃或掉线,因此服务器在发送响应消息后无法收到客户端的确认消息(第一次三次握手无法完成)。此时,服务器通常会重试并等待一段时间,然后丢弃未完成的连接。

服务器的一个线程因为一个用户的异常而等待一段时间并不是什么大问题。但是恶意攻击者大量模拟这种情况,服务器为了维持几万个半连接,消耗了大量资源。结果往往忽略了客户的正常请求,甚至崩溃。站在正常客户的角度,网站反应迟钝,无法访问。

如何应对 DDoS 攻击?

高防服务器

以重庆火锅店为例。重庆火锅店加了两个保安。这两个保安可以保护店铺免受流氓骚扰,并定期在店铺周围巡逻,防止流氓骚扰。

高原理防御服务器主要指能独立硬防御50Gbps以上,能帮助网站拒绝服务攻击,定期扫描网络主节点等的服务器。这个东西不错,但是很贵~

黑名单

面对火锅店的小流氓,我盛怒之下拍了他们的照片,禁止他们进店,但有时候长得像他们的人会被禁止进店。这是建立黑名单。这种方法坚持“错杀一千,不放一百”的原则,会阻塞正常流量,影响正常业务。

DDoS 清洗

DDos清洗是指我发现一个客人在店里待了几分钟后就把他踢出店外,但他从来没有点过菜。

DDoS清理可以实时监控用户请求的数据,及时发现DoS攻击等异常流量,在不影响正常业务发展的情况下清理这些异常流量。

CDN 加速

CDN加速。我们可以这样理解:为了减少对小流氓的骚扰,我干脆在网上开了火锅店,采取了送货服务,让小流氓找不到店在哪里,也玩不到小流氓。

实际上,CDN服务将网站访问流量分配到每个节点,一方面隐藏了网站的真实IP,另一方面即使遇到DDoS攻击也将流量分散到每个节点,以防止源站崩溃。

赞(0) 打赏
未经允许不得转载:斯凯创业 » ddos是什么攻击(ddos攻击原理与防御方法)
分享到: 更多 (0)