监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 3271|回复: 11
打印 上一主题 下一主题

DDOS攻击之我见

  [复制链接]

4

主题

29

帖子

81

积分

实习生

跳转到指定楼层
1
发表于 2009-11-16 13:59:23 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
DDOS攻击之我见
DDOS网络攻击是我们最常见的问题了,要防止DDOS网络攻击,首先就要了解其攻击的方式。

1.Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。

2.Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

3.Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

4.Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

5.Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。

6.PingSweep:使用ICMP Echo轮询多个主机。

7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
网络攻击方面的术语解释DDOS:DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
通过这些了解其攻击的方式,我们可以分析出DDOS攻击的根本原理不外乎发送虚假的IP/MAC或者发送不正常的SYN链接,大量ping包.虚假的IP/MAC还算试了些巧劲,大量的syn链接,大量ping包等就完全属于蛮力攻击。
传统的针对DDOS的攻击,就是防火墙。防火墙的作用类似于,它存在在内网的关口处,练就了一身“金钟罩,铁布衫”,就是能把你打肿就是把你打不死。但是内网的DDOS呢。内网防火墙对洪水包这样的攻击还算有点用,但是内网中主机跟主机间的攻击怎么防火墙就奈何不了。所以说要解决内网的DDOS攻击问题,就要组建免疫网络。免疫网络要具备一下4点:1、拓展到网络的最末端,2、深入到协议的最底层、3、盘查到外网的出入口、4、总览到内网的最全貌。我们要从内网主机的每块网卡上入手,限制其只能通过真实的IP/MAC通信,网卡处设置策略每秒从自己网卡处发出的SYN请求数、PING包的大小数限制等等,这样内网的DDOS攻击就从根本上解决了。

2

主题

100

帖子

135

积分

实习生

2
发表于 2009-11-16 14:02:08 | 只看该作者
华为金牌代理
一般很难防的住

0

主题

136

帖子

292

积分

版主

QQ
3
发表于 2009-11-16 14:11:53 | 只看该作者
华为金牌代理
老夫纵横江湖几十年,没见过挡得住DDOS的,除非你不上线。。
成都普天科创 http://putiantech.com.cn
上海长飞光纤光缆, 康宁光通,Huber+suhner,军用级光纤收发器
免费提供光网络咨询13550197776(李旭馗)
4
发表于 2009-11-16 14:19:57 | 只看该作者
要不怎么叫 D到死  

0

主题

100

帖子

159

积分

实习生

5
发表于 2009-11-17 14:23:48 | 只看该作者

呵呵

本帖最后由 workers2 于 2010-3-10 11:01 编辑

呵呵,刚开始的时候我也不相信有这样的东西。后来我彻底的相信了,通过像楼主说的那样一套免疫方案的部署以后,他们的工程师现场给我们做了攻击的测试 结果让我惊呆了!免疫网络还挺有用的,这个问题已经解决了

0

主题

37

帖子

47

积分

实习生

6
发表于 2009-11-18 09:30:34 | 只看该作者
嘿嘿,我只是路过

0

主题

14

帖子

14

积分

实习生

7
发表于 2009-11-18 11:33:20 | 只看该作者

免疫网络可以防!

引用 普天科创 版主的话
老夫纵横江湖几十年,没见过挡得住DDOS的,除非你不上线。。

免疫网络是企业信息网络的一种安全形式。
是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。
就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫网络就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。
免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。
它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。
防ddos小菜一碟,版主你去看看实现原理吧,要接受新事物,虽然您纵横网络几十年,免疫网络的厉害之处您还是不知到吧,毛主席多伟大,就是没有过大哥大

0

主题

8

帖子

33

积分

实习生

8
发表于 2009-11-18 11:35:43 | 只看该作者

何为DDOS

DDOS又叫做洪水攻击,就是通过控制大量的肉鸡同时对一台服务器进行攻击,就像洪水一样。
通过服务器发布指令,像肉鸡发送一个恶意代码包,然后让大量的肉鸡同时发送恶意代码,让被攻击者因为无法处理这些大量数据而导致系统瘫痪。

2

主题

100

帖子

135

积分

实习生

9
发表于 2009-11-18 11:40:37 | 只看该作者
就是啊,DDOS就是分布式拒绝服务攻击,一般很难防的住。
比如一下来了1G的流量,防火墙或其他设备自己都扛不住,于是就拒绝服务了,网络也就瘫痪了!

今年的五省断网时间就是黑客DDOS某域名服务器引发的。还有很多类似的案例。

0

主题

14

帖子

14

积分

实习生

10
发表于 2009-11-18 12:17:32 | 只看该作者

那是以为没有普及免疫网络

现在免疫网络正在普及,免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。

这是传统的网络做不到的
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-27 18:14 , Processed in 0.088012 second(s), 24 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表