DDOS攻击之我见

huuuuuuazi · 发表于 2009-11-16 13:59:23

DDOS攻击之我见
DDOS网络攻击是我们最常见的问题了，要防止DDOS网络攻击，首先就要了解其攻击的方式。

1.Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

2.Smurf：该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

3.Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

4.Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。

5.Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。

6.PingSweep：使用ICMP Echo轮询多个主机。

7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。
网络攻击方面的术语解释DDOS：DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
通过这些了解其攻击的方式，我们可以分析出DDOS攻击的根本原理不外乎发送虚假的IP/MAC或者发送不正常的SYN链接，大量ping包.虚假的IP/MAC还算试了些巧劲，大量的syn链接，大量ping包等就完全属于蛮力攻击。
传统的针对DDOS的攻击，就是防火墙。防火墙的作用类似于，它存在在内网的关口处，练就了一身“金钟罩，铁布衫”，就是能把你打肿就是把你打不死。但是内网的DDOS呢。内网防火墙对洪水包这样的攻击还算有点用，但是内网中主机跟主机间的攻击怎么防火墙就奈何不了。所以说要解决内网的DDOS攻击问题，就要组建免疫网络。免疫网络要具备一下4点：1、拓展到网络的最末端，2、深入到协议的最底层、3、盘查到外网的出入口、4、总览到内网的最全貌。我们要从内网主机的每块网卡上入手，限制其只能通过真实的IP/MAC通信，网卡处设置策略每秒从自己网卡处发出的SYN请求数、PING包的大小数限制等等，这样内网的DDOS攻击就从根本上解决了。

菜黑3389 · 发表于 2009-11-16 14:02:08

一般很难防的住

普天科创 · 发表于 2009-11-16 14:11:53

老夫纵横江湖几十年，没见过挡得住DDOS的，除非你不上线。。

我是菜鸟 · 发表于 2009-11-16 14:19:57

要不怎么叫 D到死

workers2 · 发表于 2009-11-17 14:23:48

本帖最后由 workers2 于 2010-3-10 11:01 编辑

呵呵，刚开始的时候我也不相信有这样的东西。后来我彻底的相信了，通过像楼主说的那样一套免疫方案的部署以后，他们的工程师现场给我们做了攻击的测试结果让我惊呆了！免疫网络还挺有用的，这个问题已经解决了

nohack · 发表于 2009-11-18 09:30:34

嘿嘿，我只是路过

捭阖 · 发表于 2009-11-18 11:33:20

引用普天科创版主的话
老夫纵横江湖几十年，没见过挡得住DDOS的，除非你不上线。。

免疫网络是企业信息网络的一种安全形式。
是生物医学的名词，它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样，在电脑行业，“病毒”就是对医学名词形象的借用。同样，“免疫”也被借用于说明计算机网络的一种能力和作用。免疫网络就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能，在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。
防ddos小菜一碟，版主你去看看实现原理吧，要接受新事物，虽然您纵横网络几十年，免疫网络的厉害之处您还是不知到吧，毛主席多伟大，就是没有过大哥大

mrzhouct · 发表于 2009-11-18 11:35:43

DDOS又叫做洪水攻击，就是通过控制大量的肉鸡同时对一台服务器进行攻击，就像洪水一样。
通过服务器发布指令，像肉鸡发送一个恶意代码包，然后让大量的肉鸡同时发送恶意代码，让被攻击者因为无法处理这些大量数据而导致系统瘫痪。

菜黑3389 · 发表于 2009-11-18 11:40:37

就是啊，DDOS就是分布式拒绝服务攻击，一般很难防的住。
比如一下来了1G的流量，防火墙或其他设备自己都扛不住，于是就拒绝服务了，网络也就瘫痪了！

今年的五省断网时间就是黑客DDOS某域名服务器引发的。还有很多类似的案例。

捭阖 · 发表于 2009-11-18 12:17:32

现在免疫网络正在普及，免疫网络的主要理念是自主防御和管理，它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能，在面临攻击时调动各种安全资源进行应对。

这是传统的网络做不到的

		自动登录	找回密码
密码			注册通行证

DDOS攻击之我见

呵呵

免疫网络可以防！

何为DDOS

那是以为没有普及免疫网络