DDOS攻擊已經(jīng)成為站長(zhǎng)們皆知一種網(wǎng)絡(luò)攻擊方式。現(xiàn)在隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)攻擊越來(lái)越多，而且，針對(duì)DDOS攻擊的防御部署工作也是討論的熱點(diǎn)話題。畢竟隨著互聯(lián)網(wǎng)絡(luò)帶寬的增多和多種攻擊黑客工具的不斷發(fā)布，使其DDOS攻擊越來(lái)越不受控制。

那么DDOS是怎么攻擊計(jì)算機(jī)或網(wǎng)絡(luò)的？DDOS攻擊可使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)，DDOS是DOS攻擊中的一種方法。將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。

實(shí)際上，DOS的攻擊方式有很多種，接下來(lái)介紹幾種比較常見(jiàn)的攻擊途徑：

1、 IP欺騙DOS攻擊

這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(hù)(1.1.1)已經(jīng)同服務(wù)器建立了正常連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1.1.1，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從1.1.1發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。

這時(shí)，如果合法用戶(hù)1.1.1再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶(hù)就必須從新開(kāi)始建立連接。攻擊時(shí)，偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶(hù)服務(wù)。

2、 帶寬DOS攻擊

如果連接帶寬足夠大而服務(wù)器又不是很大，可以發(fā)送請(qǐng)求來(lái)消耗服務(wù)器的緩沖區(qū)，消耗服務(wù)器的帶寬。這種攻擊就是人多力量大，配合上SYN一起實(shí)施DOS，威力巨大，不過(guò)是初級(jí)DOS攻擊。

3、 自身消耗的DOS攻擊

一種老式的攻擊手法，因?yàn)槔鲜降南到y(tǒng)有這樣的自身bug。這種DOS攻擊就是把請(qǐng)求客戶(hù)端IP和端口弄成主機(jī)的IP端口相同，發(fā)送給主機(jī)。使得主機(jī)給自己發(fā)送TCP請(qǐng)求和連接。這種主機(jī)的漏洞會(huì)很快把資源消耗光。直接導(dǎo)致宕機(jī)。這偽裝對(duì)一些身份認(rèn)證系統(tǒng)還是威脅巨大的。

對(duì)付DDOS是一個(gè)系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，以下幾點(diǎn)是防御DDOS攻擊幾點(diǎn)：

1、 采用高性能的網(wǎng)絡(luò)設(shè)備

2、 首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們?cè)诰W(wǎng)絡(luò)接點(diǎn)處做一下流量限制來(lái)對(duì)抗某些種類(lèi)的DDOS攻擊是非常有效的。

3、 無(wú)論是路由器還是硬件防護(hù)墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力，其實(shí)原因很簡(jiǎn)單，因?yàn)镹AT需要對(duì)地址來(lái)回轉(zhuǎn)換，轉(zhuǎn)換過(guò)程中需要對(duì)網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間，但有些時(shí)候必須使用NAT，那就沒(méi)有好辦法了。

4、 充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無(wú)論采取什么措施都很難對(duì)抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會(huì)超過(guò)100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

5、 升級(jí)主機(jī)服務(wù)器硬件

在有網(wǎng)絡(luò)帶寬保證的前提下，請(qǐng)盡量提升硬件配置，要有效對(duì)抗每秒10萬(wàn)個(gè)SYN攻擊包，服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強(qiáng)雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤(pán)要盡量選擇SCSI的，別只貪IDE價(jià)格不貴量還足的便宜，否則會(huì)付出高昂的性能代價(jià)，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

6、 把網(wǎng)站做成靜態(tài)頁(yè)面

大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來(lái)不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒(méi)出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門(mén)戶(hù)網(wǎng)站主要都是靜態(tài)頁(yè)面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺(tái)單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫(kù)調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫(kù)的腳本中拒絕使用代理的訪問(wèn)，因?yàn)榻?jīng)驗(yàn)表明使用代理訪問(wèn)你網(wǎng)站的80%屬于惡意行為。

7、 安裝專(zhuān)業(yè)抗DDOS防火墻 ，列如現(xiàn)在比較方便的云防御。

最安全最省心的辦法是通過(guò)使用第三方專(zhuān)業(yè)抗CC攻擊的防火墻進(jìn)行防范。

分享題目：DDOS攻擊網(wǎng)站原理，遭受攻擊該如何進(jìn)行防御？
URL地址：http://muchs.cn/hangye/fwqzy/n8387.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)