2021年如何防御DDOS遭遇攻击

1、资料来源：来自本人网络整理！祝您工作顺利！2021年如何防御ddos遭遇攻击 近年来出现的分布式回绝效劳攻击(ddos)对网络平安和信息的可用性造成了宏大的威逼。下面我为大家讲解如何防备ddos攻击? 什么是ddos? ddos是英文distributed denial of service的缩写，意即分布式回绝效劳，那么什么又是回绝效劳(denial of service)呢?可以这么理解，但凡能导致合法用户不可以访问正常网络效劳的行为都算是回绝效劳攻击。也就是说回绝效劳攻击的目的特别明确，就是要阻挡合法用户对正常网络资源的访问，从而达成攻击者不行告人的目的。虽然同样是回绝效劳攻击，但是dd

2、os和dos还是有所不同，ddos的攻击策略侧重于通过许多僵尸主机(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络堵塞或效劳器资源耗尽而导致回绝效劳，分布式回绝效劳攻击一旦被施行，攻击网络包就会如同洪水般涌向受害主机，从而把合法用户的网络包吞没，导致合法用户无法正常访问效劳器的网络资源，因此，回绝效劳攻击又被称之为洪水式攻击，常见的ddos攻击手段有syn flood、ack flood、udp flood、icmp flood、tcp flood、connections flood、script flood、proxy flood等;而dos那么侧重于通过

3、对主机特定破绽的利用攻击导致网络栈失效、系统崩溃、主机死机而无法供应正常的网络效劳功能，从而造成回绝效劳，常见的dos攻击手段有teardrop、land、jolt、igmp nuker、boink、smurf、bonk、oob等。就这两种回绝效劳攻击而言，危害较大的主要是ddos攻击，缘由是很难防范，至于dos攻击，通过给主机效劳器打补丁或安装防火墙软件就可以很好地防范，后文会具体介绍怎么应付ddos攻击。 为什么要ddos? 随着internet互联网络带宽的增加和多种ddos黑客工具的不断发布，ddos回绝效劳攻击的施行越来越简单，ddos攻击大事正在成上升趋势。出于商业竞争、打击报复和

4、网络敲诈等多种因素，导致许多idc托管机房、商业站点、嬉戏效劳器、谈天网络等网络效劳商长期以来始终被ddos攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决ddos攻击问题成为网络效劳商必需考虑的头等大事。 被ddos的特征是什么? ddos的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被堵塞，合法网络包被虚假的攻击包吞没而无法到达主机;另一种为资源耗尽攻击，主要是针对效劳器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或cpu被内核及应用程序占完而造成无法供应网络效劳。 如何推断网站是否患病了流量攻

5、击呢?可通过ping指令来测试，假设发觉ping超时或丢包严峻(假定平常是正常的)，那么可能患病了流量攻击，此时假设发觉和你的主机接在同一交换机上的效劳器也访问不了了，根本可以确定是患病了流量攻击。当然，这样测试的前提是你到效劳器主机之间的icmp协议没有被路由器和防火墙等设备屏蔽，否那么可实行telnet主机效劳器的网络效劳端口来测试，效果是一样的。不过有一点可以确定，假设平常ping你的主机效劳器和接在同一交换机上的主机效劳器都是正常的，突然都ping不通了或者是严峻丢包，那么假设可以排除网络故障因素的话那么确定是患病了流量攻击，再一个流量攻击的典型现象是，一旦患病流量攻击，会发觉用远程终

6、端连接网站效劳器会失败。 相对于流量攻击而言，资源耗尽攻击要简单推断一些，假设平常ping网站主机和访问网站都是正常的，发觉突然网站访问特别缓慢或无法访问了，而ping还可以ping通，那么很可能患病了资源耗尽攻击，此时假设在效劳器上用netstat -na指令观看到有大量的syn_received、time_wait、fin_wait_1等状态存在，而established很少，那么可断定确定是患病了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，ping自己的网站主机ping不通或者是丢包严峻，而ping与自己的主机在同一交换机上的效劳器那么正常，造成这种缘由是网站主机患病攻击后导致系统内

7、核或某些应用程序cpu利用率到达100%无法回应ping指令，其实带宽还是有的，否那么就ping不通接在同一交换机上的主机了。 当前主要有三种流行的ddos攻击： 1、syn/ack flood攻击：这种攻击方法是经典最有效的ddos方法，可通杀各种系统的网络效劳，主要是通过向受害主机发送大量伪造源ip和源端口的syn或ack包，导致主机的缓存资源被耗尽或忙于发送回应包而造成回绝效劳，由于源都是伪造的故追踪起来比拟困难，缺点是施行起来有肯定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机效劳器无法访问，但却可以ping的通，在效劳器上用netstat -na指令会观看到存在大量的syn

8、_received状态，大量的这种攻击会导致ping失败、tcp/ip栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。一般防火墙大多无法抵挡此种攻击。 2、tcp全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般状况下，常规防火墙大多具备过滤teardrop、land等dos攻击的力量，但对于正常的tcp连接是放过的，殊不知许多网络效劳程序(如：iis、apache等web效劳器)能承受的tcp连接数是有限的，一旦有大量的tcp连接，即便是正常的，也会导致网站访问特别缓慢甚至无法访问，tcp全连接攻击就是通过很多僵尸主机不断地与受害效劳器建立大量的tcp连接，直到效劳器的内存等资源

9、被耗尽而被拖跨，从而造成回绝效劳，这种攻击的特点是可绕过一般防火墙的防护而到达攻击目的，缺点是需要找许多僵尸主机，并且由于僵尸主机的ip是暴露的，因此简单被追踪。 3、刷script脚本攻击：这种攻击主要是针对存在asp、jsp、php、cgi等脚本程序，并调用mssqlserver、mysqlserver、oracle等数据库的网站系统而设计的，特征是和效劳器建立正常的tcp连接，并不断的向脚本程序提交查询、列表等大量消耗数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个get或post指令对客户端的消耗和带宽的占用是几乎可以忽视的，而效劳器为处理此恳求却可能要从上万条记录中去查

10、出某个记录，这种处理过程对资源的消耗是很大的，常见的数据库效劳器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过proxy代理向主机效劳器大量递交查询指令，只需数分钟就会把效劳器资源消耗掉而导致回绝效劳，常见的现象就是网站慢如蜗牛、asp程序失效、php连接数据库失败、数据库主程序占用cpu偏高。这种攻击的特点是可以完全绕过一般的防火墙防护，轻松找一些proxy代理就可施行攻击，缺点是应付只有静态页面的网站效果会大打折扣，并且有些proxy会暴露攻击者的ip地址。 四、怎么抵挡ddos? 应付ddos是一个系统工程，想仅仅依靠某种系统或产品防住ddos是不

11、现实的，可以确定的是，完全杜绝ddos目前是不行能的，但通过适当的措施抵挡90%的ddos攻击是可以做到的，基于攻击和防备都有本钱开销的原因，假设通过适当的方法增加了抵挡ddos的力量，也就意味着加大了攻击者的攻击本钱，那么绝大多数攻击者将无法连续下去而放弃，也就相当于胜利的抵挡了ddos攻击。以下为笔者多年以来抵挡ddos的阅历和建议，和大家共享! 1、采纳高性能的网络设备 首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假设和网络供应商有特别关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对

12、抗某些种类的ddos攻击是特别有效的。 2、尽量避开nat的用法 无论是路由器还是硬件防护墙设备要尽量避开采纳网络地址转换nat的用法，因为采纳此技术会较大降低网络通信力量，其实缘由很简洁，因为nat需要对地址来回转换，转换过程中需要对网络包的校验和进展计算，因此铺张了许多cpu的时间，但有些时候必需用法nat，那就没有好方法了。 3、充分的网络带宽保证 网络带宽挺直打算了能抗受攻击的力量，假如仅仅有10m带宽的话，无论实行什么措施都很难对抗如今的synflood攻击，当前至少要选择100m的共享带宽，最好的当然是挂在1000m的主干上了。但需要留意的是，主机上的网卡是1000m的并不意味着它

13、的网络带宽就是千兆的，假设把它接在100m的交换机上，它的实际带宽不会超过100m，再就是接在100m的带宽上也不等于就有了百兆的带宽，因为网络效劳商很可能会在交换机上限制实际带宽为10m，这点肯定要搞清晰。 4、晋级主机效劳器硬件 在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个syn攻击包，效劳器的配置至少应当为：p4 2.4g/ddr512m/scsi-hd，起关键作用的主要是cpu和内存，假设有志强双cpu的话就用它吧，内存肯定要选择ddr的高速内存，硬盘要尽量选择scsi的，别只贪ide价格不贵量还足的廉价，否那么会付出昂扬的性能代价，再就是网卡肯定要选用3com

14、或intel等名牌的，假设是realtek的还是用在自己的pc上吧。 5、把网站做成静态页面 大量事实证明，把网站尽可能做成静态页面，不仅能大大进步抗攻击力量，而且还给黑客入侵带来不少费事，至少到如今为止关于html的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，假设你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的患病攻击时连累主效劳器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中回绝用法代理的访问，因为阅历说明用法代理访问你网站的80%属于恶意行为。 6、增加操作系统的tcp/ip栈 win2000和win2021作为效劳器操作系统，本身就具备肯定的抵抗ddos攻击的力量，只是默认状态下没有开启而已，假设开启的话可抵抗约1