7095 
2024-02-01 11:00:01 DDoS攻擊可以使企業(yè)完全宕機(jī)數(shù)小時以上,造成的后果是比較嚴(yán)重的。ddos防御原理是什么?我們需要及時了解ddos攻擊形成的原理,才能更好地運(yùn)用防御手段,保障信息的安全。
ddos防御原理是什么?
一個比較完善的DDos攻擊體系分成四大部分,分別是攻擊者( attacker也可以稱為master)、控制傀儡機(jī)( handler)、攻擊傀儡機(jī)( demon,又可稱agent)和受害著( victim)。第2和第3部分,分別用做控制和實(shí)際發(fā)起攻擊。第2部分的控制機(jī)只發(fā)布令而不參與實(shí)際的攻擊,第3部分攻擊傀儡機(jī)上發(fā)出DDoS的實(shí)際攻擊包。對第2和第3部分計(jì)算機(jī),攻擊者有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運(yùn)行并等待來自攻擊者的指令,通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時,這些傀儡機(jī)器并沒有什么異常,只是一旦攻擊者連接到它們進(jìn)行控制,并發(fā)出指令的時候,攻擊愧儡機(jī)就成為攻擊者去發(fā)起攻擊了。
之所以采用這樣的結(jié)構(gòu),一個重要目的是隔離網(wǎng)絡(luò)聯(lián)系,保護(hù)攻擊者,使其不會在攻擊進(jìn)行時受到監(jiān)控系統(tǒng)的跟蹤。同時也能夠更好地協(xié)調(diào)進(jìn)攻,因?yàn)楣魣?zhí)行器的數(shù)目太多,同時由一個系統(tǒng)來發(fā)布命令會造成控制系統(tǒng)的網(wǎng)絡(luò)阻塞,影響攻擊的突然性和協(xié)同性。而且,流量的突然增大也容易暴露攻擊者的位置和意圖。
當(dāng)受控制的攻擊代理機(jī)達(dá)到攻擊者滿意的數(shù)量時,攻擊者就可以通過攻擊主控機(jī)隨時發(fā)出擊指令。由于攻擊主控機(jī)的位置非常靈活,而且發(fā)布命令的時間很短,所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機(jī),主控機(jī)就可以關(guān)閉或脫離網(wǎng)絡(luò),以逃避追蹤要著,攻擊操縱機(jī)將命令發(fā)布到各個攻擊代理機(jī)。
在攻擊代理機(jī)接到攻擊命令后,就開始向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請求數(shù)據(jù)包。這些數(shù)據(jù)包經(jīng)過偽裝,使被攻擊者無法識別它的來源面且,這些包所請求的服務(wù)往往要消耗較大的系統(tǒng)資源,如CP或網(wǎng)絡(luò)帶寬。如果數(shù)百臺甚至上千臺攻擊代理機(jī)同時攻擊一個目標(biāo),就會導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡,從而停止服務(wù)。有時,甚至?xí)?dǎo)致系統(tǒng)崩潰。
另外,這樣還可以阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備,進(jìn)一步加重網(wǎng)絡(luò)擁塞狀況。于是,目標(biāo)主機(jī)根本無法為用戶提供任何服務(wù)。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務(wù)。這樣,系統(tǒng)管理員就難于區(qū)分惡意請求和正連接請求,從而無法有效分離出攻擊數(shù)據(jù)包。
怎么防御ddos攻擊?
1、黑洞或沉洞:這種方法會阻止所有流量并將其轉(zhuǎn)移到黑洞,并在那里被丟棄。缺點(diǎn)是所有流量都將被丟棄,無論是好的還是壞的并且目標(biāo)業(yè)務(wù)會離線。同樣,數(shù)據(jù)包過濾和速率限制措施只是簡單地關(guān)閉一切,拒絕合法用戶訪問。
2、路由器和防火墻:路由器可以配置為通過過非必要協(xié)議來陽止簡單的ing攻擊,也可以明止無效的p地址,但是,路由器通常無法有效御更復(fù)雜的欺騙攻擊和使用有效p地址的應(yīng)用程序級攻擊。防火墻可以關(guān)閉與攻擊相關(guān)的特定流量,但與路由器一樣,它們不能執(zhí)行反欺騙。
3、入侵檢測系統(tǒng):IDS解決方案將供一些異常檢測功能,因此它們將識別有效協(xié)議何時被用作攻擊工具。它們可以與防火墻結(jié)合使用以自動阻止流量。不利的一面是,它們不是自動化的,因此需要安全專家手動調(diào)整,而且它們經(jīng)常會產(chǎn)生誤報
4、服務(wù)器:正確雷置服務(wù)器應(yīng)用程序?qū)τ谧畲笙薅鹊販p少DDOS攻擊的影響至關(guān)重要。管理員可以明確定義應(yīng)用程序可以使用哪些資源以及它將如何響應(yīng)來自客戶端的請求。結(jié)合DDoS緩解設(shè)備,優(yōu)化的服務(wù)器有機(jī)會通過DDoS攻擊繼續(xù)運(yùn)行。
5、DDoS緩解設(shè)備:一些公司要么制造專門用于凈化流量的設(shè)備,要么將DDOS緩解功能構(gòu)建到主要用于負(fù)載平衡或防火墻等其他功能的設(shè)備中,這些設(shè)備具有不同程度的有效性,沒有一個是完美的。一些合法流量將被丟棄,一些非法流量將到達(dá)服務(wù)器。服務(wù)器基礎(chǔ)設(shè)施必須足夠強(qiáng)大以處理此流量并繼續(xù)為合法客戶端提供服務(wù)。
6、過度即置:或購買額外帶寬或幾余網(wǎng)絡(luò)設(shè)備來處理需求高峰可能是處理DDOS攻擊的有效方法。使用外包服務(wù)提供商的優(yōu)勢之一是我們可以按需購買服務(wù),例如可在我們需要時為自己提供更多帶寬的突發(fā)電路,而不是在幾余網(wǎng)絡(luò)接口和設(shè)備上進(jìn)行昂貴的資本投資
大多教情況下,公司事先并不知道DDoS攻擊即將來臨。攻擊的性質(zhì)通常會在中途發(fā)生變化,要求公司在幾個小時或幾天內(nèi)快速、連續(xù)地做出反應(yīng)。由于大多數(shù)攻擊的主要影響是消耗我們的Internet帶寬,因此服務(wù)提供商需要擁有帶寬和設(shè)備來減輕攻擊的影響。
ddos防御原理是什么?以上就是詳細(xì)的解答,在面對ddos攻擊的時候一個全面的、多模塊的、多層次的DDoS防護(hù)方案來規(guī)避各種攻擊是很重要的。對于企業(yè)來說,及時做好網(wǎng)絡(luò)攻擊的防御很重要。
