為您提供網(wǎng)站建設(shè)資訊、網(wǎng)站優(yōu)化知識(shí)、主機(jī)域名郵箱、
關(guān)鍵詞排名、網(wǎng)站開發(fā)常見問題等。
發(fā)表日期:2019/11/06 來源:肆合互動(dòng) 咨詢電話:028-85756675
一個(gè)成功的網(wǎng)站在發(fā)展建設(shè)的同時(shí),都應(yīng)該明白需要做好防攻擊措施,如果前期不做好防御工作,一旦遭遇大量的DDoS攻擊或CC攻擊,那么自己的網(wǎng)站可能會(huì)癱瘓,你知道什么是DDoS攻擊和CC攻擊嗎?一起和成都網(wǎng)站建設(shè)公司小編來學(xué)習(xí)一下吧:
什么是DDoS攻擊和CC攻擊
DDoS,又稱分布式拒絕服務(wù),信息安全的三要素保密性、完整性和可用性中,DDoS攻擊,針對(duì)的目標(biāo)正是“可用性”。該攻擊方式迫使服務(wù)器的緩沖區(qū)滿,不接收新的請(qǐng)求,使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。
CC攻擊,即挑戰(zhàn)黑洞,CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個(gè)用戶訪問目標(biāo)網(wǎng)站的動(dòng)態(tài)頁面,制造大量的后臺(tái)數(shù)據(jù)庫查詢動(dòng)作,消耗目標(biāo)CPU資源,造成拒絕服務(wù)。
DDoS攻擊的是網(wǎng)站的服務(wù)器,而CC攻擊是針對(duì)網(wǎng)站的頁面攻擊的,用術(shù)語來說就是,DDoS一個(gè)是WEB網(wǎng)絡(luò)層拒絕服務(wù)攻擊,CC一個(gè)是WEB應(yīng)用層拒絕服務(wù)攻擊。
DDos攻擊的常見方法
1、SYN Flood:利用TCP協(xié)議的原理,這種攻擊方法是經(jīng)典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包,導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。
2、HTTP Flood:針對(duì)系統(tǒng)的每個(gè)Web頁面,或者資源,或者Rest API,用大量肉雞,發(fā)送大量http request。這種攻擊主要是針對(duì)存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法。缺點(diǎn)是對(duì)付只有靜態(tài)頁面的網(wǎng)站效果會(huì)大打折扣。
3、慢速攻擊:Http協(xié)議中規(guī)定,HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個(gè)Http 1.1的連接,將Connection設(shè)置為Keep-Alive,保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n,每隔幾分鐘寫入一些無意義的數(shù)據(jù)流,拖死機(jī)器。
4、P2P攻擊:每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個(gè)熱門事件,比如XX門,精心制作一個(gè)種子,里面包含正確的文件下載,同時(shí)也包括攻擊目標(biāo)服務(wù)器的IP。這樣,當(dāng)很多人下載的時(shí)候, 會(huì)無意中發(fā)起對(duì)目標(biāo)服務(wù)器的TCP連接。
DDoS攻擊防御方法
1、過濾不必要的服務(wù)和端口:可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較,并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
2、異常流量的清洗過濾:通過DDOS硬件防火墻對(duì)異常流量的清洗過濾,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常,進(jìn)一步將異常流量禁止過濾。單臺(tái)負(fù)載每秒可防御800-927萬個(gè)syn攻擊包。
3、分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址(負(fù)載均衡),并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊,如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
4、高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合,為企業(yè)提供對(duì)抗新興安全威脅的超級(jí)檢測功能。它顛覆了傳統(tǒng)一個(gè)域名對(duì)應(yīng)一個(gè)鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請(qǐng)求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能DNS解析系統(tǒng)還有宕機(jī)檢測功能,隨時(shí)可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP,為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。
5、利用Session做訪問計(jì)數(shù)器:利用Session針對(duì)每個(gè)IP做頁面訪問計(jì)數(shù)器或文件下載計(jì)數(shù)器,防止用戶對(duì)某個(gè)頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個(gè)文件而產(chǎn)生大額流量。(文件下載不要直接使用下載地址,才能在服務(wù)端代碼中做CC攻擊的過濾處理)
6、把網(wǎng)站做成靜態(tài)頁面:大量事實(shí)證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要?jiǎng)討B(tài)腳本調(diào)用,那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去,免的遭受攻擊時(shí)連累主服務(wù)器。
7、增強(qiáng)操作系統(tǒng)的TCP/IP棧
Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認(rèn)狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個(gè)SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個(gè),具體怎么開啟,自己去看微軟的文章吧!《強(qiáng)化 TCP/IP 堆棧安全》。也許有的人會(huì)問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
8、服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂、安全寶等),如果資金充裕的話,可以購買高防的盾機(jī),用于隱藏服務(wù)器真實(shí)IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析,全部都使用CDN來解析。
網(wǎng)站建設(shè)及推廣咨詢電話
028-85756675成都市天府新區(qū)華府大道1號(hào)藍(lán)潤置地廣場T3公寓806室
填寫網(wǎng)站建設(shè)及SEO優(yōu)化排名需求