系统集成论坛
标题:
DDOS攻击之我见
[打印本页]
作者:
huuuuuuazi
时间:
2009-11-16 13:59
标题:
DDOS攻击之我见
DDOS攻击之我见
DDOS网络攻击是我们最常见的问题了,要防止DDOS网络攻击,首先就要了解其攻击的方式。
1.Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
2.Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
3.Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4.Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
5.Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
6.PingSweep:使用ICMP Echo轮询多个主机。
7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
网络攻击方面的术语解释DDOS:DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
通过这些了解其攻击的方式,我们可以分析出DDOS攻击的根本原理不外乎发送虚假的IP/MAC或者发送不正常的SYN链接,大量ping包.虚假的IP/MAC还算试了些巧劲,大量的syn链接,大量ping包等就完全属于蛮力攻击。
传统的针对DDOS的攻击,就是防火墙。防火墙的作用类似于,它存在在内网的关口处,练就了一身“金钟罩,铁布衫”,就是能把你打肿就是把你打不死。但是内网的DDOS呢。内网防火墙对洪水包这样的攻击还算有点用,但是内网中主机跟主机间的攻击怎么防火墙就奈何不了。所以说要解决内网的DDOS攻击问题,就要组建免疫网络。免疫网络要具备一下4点:1、拓展到网络的最末端,2、深入到协议的最底层、3、盘查到外网的出入口、4、总览到内网的最全貌。我们要从内网主机的每块网卡上入手,限制其只能通过真实的IP/MAC通信,网卡处设置策略每秒从自己网卡处发出的SYN请求数、PING包的大小数限制等等,这样内网的DDOS攻击就从根本上解决了。
作者:
菜黑3389
时间:
2009-11-16 14:02
一般很难防的住
作者:
普天科创
时间:
2009-11-16 14:11
老夫纵横江湖几十年,没见过挡得住DDOS的,除非你不上线。。
作者:
我是菜鸟
时间:
2009-11-16 14:19
要不怎么叫 D到死
作者:
workers2
时间:
2009-11-17 14:23
标题:
呵呵
本帖最后由 workers2 于 2010-3-10 11:01 编辑
[qq]916572761[/qq]呵呵,刚开始的时候我也不相信有这样的东西。后来我彻底的相信了,通过像楼主说的那样一套免疫方案的部署以后,他们的工程师现场给我们做了攻击的测试 结果让我惊呆了!免疫网络还挺有用的,这个问题已经解决了
作者:
nohack
时间:
2009-11-18 09:30
嘿嘿,我只是路过
作者:
捭阖
时间:
2009-11-18 11:33
标题:
免疫网络可以防!
引用 普天科创 版主的话
老夫纵横江湖几十年,没见过挡得住DDOS的,除非你不上线。。
免疫网络是企业信息网络的一种安全形式。
是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫网络就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。
防ddos小菜一碟,版主你去看看实现原理吧,要接受新事物,虽然您纵横网络几十年,免疫网络的厉害之处您还是不知到吧,毛主席多伟大,就是没有过大哥大
作者:
mrzhouct
时间:
2009-11-18 11:35
标题:
何为DDOS
DDOS又叫做洪水攻击,就是通过控制大量的肉鸡同时对一台服务器进行攻击,就像洪水一样。
通过服务器发布指令,像肉鸡发送一个恶意代码包,然后让大量的肉鸡同时发送恶意代码,让被攻击者因为无法处理这些大量数据而导致系统瘫痪。
作者:
菜黑3389
时间:
2009-11-18 11:40
就是啊,DDOS就是分布式拒绝服务攻击,一般很难防的住。
比如一下来了1G的流量,防火墙或其他设备自己都扛不住,于是就拒绝服务了,网络也就瘫痪了!
今年的五省断网时间就是黑客DDOS某域名服务器引发的。还有很多类似的案例。
作者:
捭阖
时间:
2009-11-18 12:17
标题:
那是以为没有普及免疫网络
现在免疫网络正在普及,免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。
这是传统的网络做不到的
作者:
scanywhere
时间:
2010-2-3 17:02
看看……
作者:
workers2
时间:
2010-3-10 11:02
我也路过一下看看DDOS解决了没有?
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1