随着互联网带宽的持续增长以及DDOS黑客技术的发展,DDOS拒绝服务攻击的实施变得愈发容易。商业竞争、打击报复、网络敲诈等多种因素,各行各业的用户都曾受到DDOS攻击的威胁。

一旦遭受到DDOS攻击,随之而来的就是业务宕机,用户无法正常访问,用户流失,经济损失等一系列问题。为此,互联网从业人员须将保障网络安全问题作为需要解决的重要任务之一。德迅云安全作为云安全服务商,累计了多年攻防技术经验,今天就带大家了解下遇到DDOS攻击,常见的处理解决方案。

一、认识DDOS攻击

DDoS攻击( of ),即分布式拒绝服务攻击,是一种网络攻击方式,其核心目的是阻止合法用户访问正常的网络资源。

攻击者利用分布式网络将大量恶意请求发送到目标服务器或网络上,造成目标服务器或网络资源的过载,从而导致无法正常处理请求,使目标系统瘫痪,无法正常提供服务。这种攻击方式通常涉及多个计算机或设备的协同攻击,攻击者常常使用(僵尸网络)等软件来感染并控制这些计算机或设备,这些被控制的计算机或设备被称为“僵尸机器”。

DDoS攻击的原理在于通过控制大量的计算机或设备,向目标服务器发送大量的请求,使其超出承受范围,导致服务器无法正常响应请求,从而使服务不可用。这种攻击方式可以严重影响目标服务器的正常运行,甚至导致服务中断。

DDoS攻击有多种类型,包括SYN攻击、DNS攻击、HTTP攻击和UDP攻击等。SYN攻击利用TCP/IP协议中的漏洞发送大量的SYN数据包;DNS攻击则利用DNS服务器漏洞发送大量的DNS请求;HTTP攻击和UDP攻击则是利用HTTP协议和UDP协议的漏洞发送大量请求来消耗目标系统的资源。

二、当前常见的DDOS攻击方式

1、SYN/ACK Flood攻击

SYN/ACK Flood攻击被视为经典且高效的DDOS攻击手段,其能够对付各种系统的网络服务。此攻击主要通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包来实施。这些伪造的请求导致主机缓存资源被耗尽或使主机忙于回应这些请求,从而造成拒绝服务。由于源IP和端口都是伪造的,追踪攻击源头比较困难。

只需少量的SYN/ACK Flood攻击就可能导致主机服务器无法访问。若在服务器上执行 -na命令时,会发现存在大量的状态。如果遭受大量的SYN攻击,会导致Ping失败、TCP/IP栈失效,并可能出现系统凝固现象,即键盘和鼠标无响应。重要的是,大部分普通防火墙难以抵御此种攻击。

2、TCP全连接攻击

TCP全连接攻击是设计来绕过常规防火墙的检查的。常规防火墙通常能过滤如、Land等DOS攻击,但对于正常的TCP连接往往会放行。然而,许多网络服务程序(例如IIS、等Web服务器)能接受的TCP连接数是有限的。当大量的TCP连接同时存在时,即便是正常的连接,也会导致网站访问变得非常缓慢或无法访问。

TCP全连接攻击通过众多僵尸主机不断地与受害服务器建立TCP连接,直到服务器资源如内存被耗尽,从而造成拒绝服务。这种攻击的特点是能绕过一般防火墙的防护,但其缺点是需要大量的僵尸主机,并且这些主机的IP是暴露的,因此容易被追踪。

3、刷脚本攻击

针对存在ASP、JSP、PHP、CGI等脚本程序,并调用、、等数据库的网站系统,刷脚本攻击是一种常见的方法。攻击者与服务器建立正常的TCP连接后,不断向脚本程序提交查询、列表等大量耗费数据库资源的请求。这种攻击以较小的代价换取服务器资源的大量消耗。

对于服务器而言,处理这些请求可能会从数万条记录中查找某个记录,从而消耗大量资源。通常,数据库服务器很少能支持数百个查询指令同时执行,而这对于攻击者来说轻而易举。因此,攻击者只需通过Proxy代理向主机服务器大量递交查询指令DDOS,数分钟内即可耗尽服务器资源,导致拒绝服务。

常见现象包括网站响应缓慢、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高等。这种攻击可完全绕过普通防火墙,且只需简单寻找一些Proxy代理即可实施攻击。然而,其缺点是对于只有静态页面的网站效果有限,并且有些Proxy可能会暴露攻击者的IP地址。

三、判断网站是否受到DDOS攻击的方法

1、流量攻击判定:

使用Ping命令测试,如果发现Ping超时或丢包严重,服务器无法远程连接,而之前是正常的,突然出现无法ping通丢包情况,那么网站可能遭受了流量攻击。

2、资源耗尽攻击的判定:

若平时访问网站正常,突然网站访问变得非常缓慢或无法访问,但Ping仍然可以通,那么可能遭受了资源耗尽攻击。

在服务器上使用 -na命令,如果观察到大量的、、等状态,而状态很少,则可以判定为资源耗尽攻击。

四、如何有效抵御DDOS攻击

当前的DDoS攻击模式与过去相比更为复杂,单一的防护手段已无法应对,我们需要一个全面的、多层次的DDoS防护方案。想要完全杜绝DDOS攻击还是不可能的,但通过适当的安全策略、接入部署德迅云安全解决方案,抵挡住大部分DDOS攻击是可以实现的。

增加防御DDOS的能力,也就意味着提高了攻击者的攻击成本,使得大部分攻击者因成本过高或是攻击已经无法造成有效影响从而放弃攻击行为,这也就相当于成功地抵御了DDOS攻击。以下是日常一些常见的措施建议:

1、 实施速率限制

速率限制是一种防止DDoS攻击的技术,通过限制发送到网络或服务器的流量来实现。当达到限制时,多余的流量会被丢弃或延迟。谨慎配置速率限制以确保不会阻碍合法流量是至关重要。

2、避免NAT的使用

您可能对以下文章会感兴趣