DDoS攻擊五花八門(mén)�,防不勝防,當(dāng)你想建立一個(gè)防御系統(tǒng)對(duì)抗DDoS的時(shí)候��,你需要掌握這些攻擊的變異形態(tài)���。本文中��,讓我們一起來(lái)看看DDoS"背后"的一些細(xì)節(jié)和攻擊方式�,以便于我們能夠讓我們的網(wǎng)絡(luò)更加地安全��。
上個(gè)月���,某些干流媒體的新聞報(bào)導(dǎo)中提到了關(guān)于美國(guó)聞名銀行的一些DDoS進(jìn)犯工作���。這類進(jìn)犯必定不是新的�,但它們?cè)诒囟ɑA(chǔ)上不斷地發(fā)作�����,這種狀況下��,就值得咱們注重了�����,由于這些進(jìn)犯明顯都來(lái)自同一區(qū)域����,而且它們的方針都反常準(zhǔn)確�。
當(dāng)然,許多新聞都純屬炒作�����,說(shuō)什么黑客怎么對(duì)咱們的金融體系進(jìn)行黑客進(jìn)犯和網(wǎng)絡(luò)進(jìn)犯的����,事實(shí)上咱們曉得真實(shí)的DDoS跟這些進(jìn)犯仍是有很大區(qū)別的��。為此�����,咱們來(lái)知道一下DDoS的基本知識(shí)和應(yīng)對(duì)大規(guī)劃進(jìn)犯的關(guān)聯(lián)裝備��,這些都很重要��。
雖然大型網(wǎng)站常常遭到進(jìn)犯���,而且在超負(fù)荷的負(fù)載下,這些公司和網(wǎng)絡(luò)依然要竭盡所能地去搬運(yùn)這些進(jìn)犯�����,而且是最最重要是要堅(jiān)持他們的網(wǎng)站可以正常地閱讀����。即便你辦理的是一個(gè)小站點(diǎn),比方小公司或許小型網(wǎng)站這種規(guī)劃的網(wǎng)絡(luò)���,你依然不曉得什么時(shí)分就有人會(huì)對(duì)你下黑手���。那么截下來(lái)����,讓咱們一起來(lái)看看DDoS"背面" 的一些細(xì)節(jié)和進(jìn)犯方式����,以便于咱們可以讓咱們的網(wǎng)絡(luò)愈加地安全。
DDoS進(jìn)犯的多種辦法
拒絕效勞曾經(jīng)是一種十分簡(jiǎn)略的進(jìn)犯方式�。有些人開(kāi)端在他們的電腦上工作PING指令����,確定方針地址,讓其高速工作�����,企圖向另一端發(fā)送洪水般的ICMP懇求指令或許數(shù)據(jù)包�。當(dāng)然,由于這邊發(fā)送速度的改動(dòng)�,進(jìn)犯者需求一個(gè)比對(duì)方站點(diǎn)更大的帶寬。首要��,他們會(huì)搬到有大型主機(jī)的當(dāng)?shù)?�,相似有大學(xué)效勞器或許教研所那樣的大型帶寬的當(dāng)?shù)兀缓髲倪@里宣布進(jìn)犯����。但現(xiàn)代的僵尸網(wǎng)絡(luò)在任何狀況下簡(jiǎn)直都能運(yùn)用,相對(duì)來(lái)說(shuō)它的操作更簡(jiǎn)略���,使進(jìn)犯徹底散布開(kāi)來(lái)����,顯得愈加蔭蔽����。
事實(shí)上,由于歹意軟件的制造者�,僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)現(xiàn)已成為了一條明顯的產(chǎn)業(yè)鏈。實(shí)踐他們現(xiàn)已開(kāi)端租借那些肉機(jī)�����,而且按小時(shí)收費(fèi)�。假若有人想要搞垮一個(gè)網(wǎng)站,只要給這些進(jìn)犯者付夠錢(qián)����,然后就會(huì)有不計(jì)其數(shù)的僵尸電腦去進(jìn)犯那個(gè)網(wǎng)站�����。一臺(tái)受感染的電腦或許無(wú)法把一個(gè)站點(diǎn)搞垮�����,但假若有10000臺(tái)以上的電腦一起發(fā)送懇求����,它們會(huì)將把未受維護(hù)的效勞器"塞滿"����。
多種進(jìn)犯類型
用PING指令就可以履行操作ICMP懇求�,這個(gè)懇求十分簡(jiǎn)單形成網(wǎng)絡(luò)阻塞。DDoS進(jìn)犯可以經(jīng)過(guò)多種辦法來(lái)完結(jié)�����,ICMP也僅僅其中之一�����。
此外�����,有一種Syn進(jìn)犯,發(fā)起這種進(jìn)犯時(shí)���,實(shí)踐上僅僅是打開(kāi)了一個(gè)TCP鏈接�,之后通常會(huì)銜接到一個(gè)網(wǎng)站上���,但要害是�,這個(gè)操作并沒(méi)有完結(jié)初始握手����,就離開(kāi)了掛靠的效勞器。
另一種聰明的做法是運(yùn)用DNS��。有許多網(wǎng)絡(luò)供貨商都有本人的DNS效勞器����,而且答應(yīng)任何人進(jìn)行查詢,乃至有些人都不是他們的客戶�。而且通常DNS都運(yùn)用 UDP,UDP是一種無(wú)銜接的傳輸層協(xié)議����。有了以上兩個(gè)條件作為基礎(chǔ)��,那些進(jìn)犯者就十分簡(jiǎn)單發(fā)起一場(chǎng)拒絕效勞進(jìn)犯�。一切進(jìn)犯者要做的就是找到一個(gè)敞開(kāi)的 DNS解析器�,制造一個(gè)虛擬UDP數(shù)據(jù)包并假造一個(gè)地址,對(duì)著方針網(wǎng)站將其發(fā)送到DNS效勞器上面��。當(dāng)效勞器接收到進(jìn)犯者發(fā)送的懇求�����,將會(huì)信以為真�����,而且向假造地址發(fā)送懇求回答�����。事實(shí)上是方針網(wǎng)站接收了互聯(lián)網(wǎng)上一群敞開(kāi)的DNS解析器的懇求與回復(fù)�,然后替代了僵尸網(wǎng)絡(luò)的進(jìn)犯����。別的,這類進(jìn)犯具有十分大的伸縮性,由于你可以給DNS效勞器發(fā)送一種UDP數(shù)據(jù)包����,懇求某一側(cè)的轉(zhuǎn)存,形成一個(gè)大流量的回答��。
怎么維護(hù)你的網(wǎng)絡(luò)
正如你所見(jiàn)���,DDoS進(jìn)犯形形色色��,防不勝防���,當(dāng)你想樹(shù)立一個(gè)防護(hù)體系對(duì)立DDoS的時(shí)分,你需求把握這些進(jìn)犯的變異形狀����。
最笨的防護(hù)辦法,就是花大代價(jià)買(mǎi)更大的帶寬���。拒絕效勞就像個(gè)游戲相同���。假若你運(yùn)用10000個(gè)體系發(fā)送1Mbps的流量,那就意味著你運(yùn)送給你的效勞器每秒鐘10Gb的數(shù)據(jù)流量��。這就會(huì)形成擁堵。這種狀況下��,相同的規(guī)矩適用于正常的冗余��。這時(shí)�,你就需求更多的效勞器,遍及各地的數(shù)據(jù)中間���,和更好的負(fù)載均衡效勞了����。將流量渙散到多個(gè)效勞器上����,協(xié)助你進(jìn)行流量均衡,更大的帶寬可以幫你應(yīng)對(duì)各種大流量的問(wèn)題��。但現(xiàn)代的DDoS進(jìn)犯越來(lái)越張狂�����,需求的帶寬越來(lái)越大��,你的財(cái)政狀況底子不答應(yīng)你投入更多的資金���。別的�,絕大多數(shù)的時(shí)分���,你的網(wǎng)站并不是首要進(jìn)犯方針�,許多辦理員都忘了這一點(diǎn)�。
網(wǎng)絡(luò)中最要害的一塊就是DNS效勞器。將DNS解析器處于敞開(kāi)狀況這是絕對(duì)不可取的���,你應(yīng)當(dāng)把它確定���,然后削減一部分進(jìn)犯危險(xiǎn)。但這樣做了今后�,咱們的效勞器就安全了嗎?答案當(dāng)然能否定的,即便你的網(wǎng)站��,沒(méi)有一個(gè)可以鏈接到你的DNS效勞器����,幫你解析域名,這相同是十分蹩腳的工作�����。大多數(shù)完結(jié)注冊(cè)的域名需求兩個(gè)DNS效勞器,但這遠(yuǎn)遠(yuǎn)不夠��。你要包管你的DNS效勞器以及你的網(wǎng)站和其他資源都處于負(fù)載均衡的維護(hù)狀況下����。你也可以運(yùn)用一些公司供給的冗余DNS。比方���,有許多人運(yùn)用內(nèi)容分發(fā)網(wǎng)絡(luò)(散布式的狀況)給客戶發(fā)送文件��,這是一種很好的抵擋DDoS進(jìn)犯的辦法�。若你需求�,也有許多公司供給了這種增強(qiáng)DNS的維護(hù)措施。
