DDoS攻击是分布式拒绝服务攻击,分为力胜型、巧胜型和混合型。攻击特征包括大量等待的TCP连接、网络拥塞和源地址伪造。防御方法包括异常流量清洗、分布式集群防御和高防智能DNS解析。通过这些措施,可以有效抵御和缓解DDoS攻击的影响。
DDoS:(Distributed Denial of Service)即分布式拒绝服务。攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。
按照发起的方式,DDoS可以简单分为三类。
第一类以力取胜,海量数据包从互联网的各个角落蜂拥而来,堵塞IDC入口,让各种强大的硬件防御系统、快速高效的应急流程无用武之地。这种类型的攻击典型代表是ICMP Flood和UDP Flood,现在已不常见。
第二类以巧取胜,灵动而难以察觉,每隔几分钟发一个包甚至只需要一个包,就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起,例如Slowloris攻击、Hash冲突攻击等,需要特定环境机缘巧合下才能出现。
第三类是上述两种的混合,轻灵浑厚兼而有之,既利用了协议、系统的缺陷,又具备了海量的流量,例如SYN Flood攻击、DNS Query Flood攻击,是当前的主流攻击方式。
出现DDOS攻击时,往往会有以下特征:
被攻击主机上有大量等待的TCP连接;
网络中充斥着大量的无用的数据包;
源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;
严重时会造成系统死机。
防御方法
1.异常流量的清洗过滤
通过DDOS硬件防火墙对异常流量的清洗过滤通过数据包的规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等顶尖技术能准确判断外来访问流量是否正常进一步将异常流量禁止过滤。单台负载每秒可防御800-927万个syn攻击包。
2.分布式集群防御
这是目前网络安全界防御大规模DDOS攻击的最有效办法分布式集群防御的特点是在每个节点服务器配置多个IP地址,并且每个节点能承受不低于10G的DDOS攻击如一个节点受攻击无法提供服务,系统将会根据优先级设置自动切换另一个节点并将攻击者的数据包全部返回发送点,使攻击源成为瘫痪状态从更为深度的安全防护角度去影响企业的安全执行决策。
3.高防智能DNS解析
高智能DNS解析系统与DDOS防御系统的完美结合,为企业提供对抗新兴安全威胁的超级检测功能,它颠覆了传统一个域名对应一个镜像的做法,智能根据用户的上网路线将DNS解析请求解析到用户所属网络的服务器。同时智能DNS解析系统还有宕机检测功能,随时可将瘫痪的服务器IP智能更换成正常服务器IP为企业的网络保持一个永不宕机的服务状态。
宕机检测:在电脑死机的情况下也能进行DNS检测
1070
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
