如何对服务器进行ddos攻击_ddos洪水攻击怎么打

hacker|
484

ACK 泛洪 DDoS 攻击

什么是ACK 泛洪 DDoS 攻击?

ACK 泛洪攻击是指攻击者尝试使用TCP ACK 数据包使服务器过载。与其他DDoS 攻击一样,ACK 洪水的目标是通过使用垃圾数据减慢或崩溃目标来拒绝向其他用户提供服务。目标服务器必须处理收到的每个 ACK 数据包,这会占用大量计算能力,无法为合法用户提供服务。

想象一个恶作剧的来电者用假消息填满某人的语音信箱,这样来自真实来电者的语音邮件就无法通过。现在想象这些假消息中的每一条都说:“嗨,我打电话是说我收到了你的消息。” 这有点像 ACK 泛洪 DDoS 攻击中发生的情况。

什么是数据包?

通过Internet 发送的所有数据都被分解为称为数据包的更小段。想想当有人想在 Twitter 上提出一个深入的观点或讲述一个长篇故事时,他们必须将他们的文本分成 280 个字符的部分,然后在一系列推文中发布,而不是一次发布。对于那些不使用 Twitter 的人,想想没有专门的短信应用程序的手机是如何将长 SMS 文本消息分解成更小的部分的。

传输控制协议(TCP) 是 Internet 通信的重要组成部分。使用 TCP 协议发送的数据包在数据包标头中附加了信息。TCP 协议使用数据包头来告诉接收者有多少数据包以及它们应该以什么顺序到达。标头还可以指示数据包的长度、数据包的类型等。

这有点像命名文件夹以便人们知道其中的内容。回到Twitter 的例子,发布一长串推文的人通常会指出该系列推文的总数和每条推文的编号,以帮助读者跟进。

什么是ACK包?

ACK 是“确认”的缩写。ACK 数据包是任何确认接收到一条消息或一系列数据包的 TCP 数据包。ACK 数据包的技术定义是在报头中设置了“ACK”标志的 TCP 数据包。

ACK 数据包是 TCP 握手的一部分,这是一系列三个步骤,可在 Internet 上的任何两个连接的设备之间开始对话(就像人们在开始对话之前可能在现实生活中通过握手互相问候一样)。TCP握手的三个步骤是:

[if !supportLists]00001. [endif]视线

[if !supportLists]00002. [endif]同步确认

[if !supportLists]00003. [endif]唉

打开连接的设备——比如用户的笔记本电脑——通过发送一个 SYN(“同步”的缩写)数据包来启动三向握手。连接另一端的设备——假设它是一个托管在线购物网站的服务器——回复一个 SYN ACK 数据包。最后,用户的笔记本电脑发送一个ACK包,三向握手完成。此过程可确保两个设备都在线并准备好接收额外的数据包,在此示例中,这些数据包将允许用户加载网站。

然而,这不是唯一一次使用ACK 数据包。TCP 协议要求连接的设备确认它们已按顺序接收到所有数据包。假设用户访问托管图像的网页。图像被分解成数据包并发送到用户的浏览器。一旦整个图像到达,用户的设备就会向主机服务器发送一个 ACK 数据包,以确认没有一个像素丢失。如果没有这个 ACK 数据包,主机服务器必须再次发送图像。

由于ACK 数据包是在报头中设置了 ACK 标志的任何 TCP 数据包,因此 ACK 可以是膝上型电脑发送到服务器的不同消息的一部分。如果用户填写表格并向服务器提交数据,膝上型计算机可以将这些数据包之一作为图像的 ACK 数据包。它不需要是一个单独的数据包。

ACK 泛洪攻击是如何工作的?

ACK 泛洪攻击的目标是需要处理收到的每个数据包的设备。防火墙和服务器最有可能成为ACK 泛滥的目标。负载平衡器、路由器和交换机不易受到这些攻击。

合法和非法ACK 数据包看起来基本相同,如果不使用内容交付网络(CDN)过滤掉不必要的ACK 数据包,则很难阻止 ACK 泛洪。虽然它们看起来很相似,但在 ACK DDoS 攻击中使用的数据包不包含数据包的主要部分,也称为有效载荷。为了看起来合法,它们只需要在 TCP 标头中包含 ACK 标志。

ACK 泛洪是第 4 层(传输层)DDoS 攻击。了解第4 层和 OSI 模型。

SYN ACK 泛洪攻击如何工作?

SYN ACK Flood DDoS 攻击与 ACK 攻击略有不同,但基本思想仍然相同:用过多的数据包压倒目标。

记住TCP 三向握手的工作原理:握手的第二步是 SYN ACK 数据包。通常,服务器发送此 SYN ACK 数据包以响应来自客户端设备的 SYN 数据包。在 SYN ACK DDoS 攻击中,攻击者使用 SYN ACK 数据包淹没目标。这些数据包根本不是三向握手的一部分;他们的唯一目的就是破坏目标的正常运作。

攻击者也有可能在SYN 泛洪 DDoS 攻击中使用SYN 数据包。

个人电脑怎么抵御DDOS攻击

可以说是无解.

1、DDOS你可以理解为洪水攻击.

2、首先,你的设备要挡的住洪水,然后才是处理洪水问题.

3、你的网卡,你的设备,一定要挡住几个G的流量攻击.

4、一般的DDOS攻击,有个1G的流量基本挡住了,

5、挡住了,然后才是安装防火墙之类的软件,过滤,丢包,之类的操作.

服务器怎样做好防御ddos攻击?

可以通过做好隐藏和硬抗两个方面来防御DDoS攻击:

1、做好日常隐藏工作

对于企业来说,减少公开暴露是防御 DDoS 攻击的有效方式。比如说:网站做CDN加速,隐藏真实IP;限制特定IP访问等。

2、硬抗

在遭受DDoS攻击的时间,可以通过扩大出口带宽、购买景安DDOS防护产品。

扩展资料:

DDoS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

参考资料:百度百科:DDoS

    景安网络:服务器如何做好ddos防御?

如何防御DDOS?网站平时应该怎么做?

只有了解了ddos原理 才能进行更好的防御  如果楼主比较小白 最好还是用百度云加速这类的cdn防御

参考:带你全面了解ddos攻击原理

DDos 攻击自打出现以后,就成为最难防御的攻击方式。仅仅在过去的一年里,DDoS 的数次爆发就让人大开眼界:

2016年4月,黑客组织对暴雪娱乐发动了 DDoS 攻击,魔兽世界、守望先锋多款游戏出现宕机的情况。 2016年5月,黑客组织针对全球银行机构发动 DDoS 攻击,导致约旦、韩国、摩纳哥等国的央行系统陷入瘫痪。 2016年9月,法国主机商 OVH 受到 DDoS 攻击,峰值达到1Tbps 2016年10月,DynDNS 受到 DDoS 攻击,北美众多网站无法访问,受影响的网站均排前列。

在你不经意之间,DDoS 可能已经在互联网上横行无忌了。

在谈攻防史之前,我们先来看看 DDoS 的攻击原理,知己知彼,百战不殆。

什么是 DDos 攻击?

DDoS 攻击是分布式拒绝服务攻击(Distributed Denial of Service)的缩写,核心是拒绝服务攻击,通过使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。而攻击的形式,又分为带宽消耗型和资源消耗型。带宽消耗型通过 UDP 洪水攻击、ICMP 洪水攻击以及其他攻击类型;资源消耗型包含 CC攻击、SYN 洪水攻击、僵尸网络攻击等。不同的攻击类型,我们的应对措施有所不同。不过在我们的日常工作中,我们所使用的 DDoS 攻击普遍是带宽消耗型攻击,也就是说,黑客会针对你的服务器发送海量 UDP 包、SYN 包,让你的服务器的带宽被攻击流量占满,无法对外提供服务。举个例子:用户通过网络来访问你的服务器就如同客人过桥来找你,但是由于你的钱只够建立一个双向四车道的桥,但是攻击者派了 100 辆大卡车,堵在你的桥门口,导致没有正常客人能够过桥来找你。

在这种情况下,你如果想要让你的客人能够继续访问,那就需要升级你的大桥,来让有空余的车道给你的客人来通过。但是,在中国的带宽由三大运营商移动联通电信提供接入,互联网带宽的成本是非常高的,而攻击者使用肉鸡攻击,攻击的成本要低很多,所以我们无法去无限制的升级我们的带宽。

在互联网的初期,人们如何抵抗 DDoS 攻击?

DDoS 并不是现在才出现的,在过去,黑洞没有出现的时候,人们如何抵抗 DDoS 攻击呢? 在互联网初期,IDC 并没有提供防护的能力,也没有黑洞,所以攻击流量对服务器和交换机造成很大的压力,导致网内拥塞,回环,甚至是服务器无法正常工作,很多IDC往往采用拔网线之类简单粗暴的办法来应对。后来,一些 IDC 在入口加入了清洗的程序,能够对攻击流量进行简单的过滤,这样就大大的减轻了服务器和内网交换机的压力。但是机房的承载能力也是有上限的,如果攻击总量超出了机房的承载能力,那么会导致整个机房的入口被堵死,结果就是机房的所有服务器都因为网络堵塞而无法对外提供服务。

后来,黑洞出现了,但是那时候的黑洞也是在机房的入口配置,只是减轻了服务器的压力,如果攻击的总量超出了机房的承载能力,最终还是因入口被堵塞而导致整个机房的服务器无法对外提供服务。在这种情况下,宣告了攻击者的得手,没有必要再尽心攻击,但是如果攻击者并没有因为目标无法访问而停手,那么机房入口仍有拥塞的风险。

后来,黑洞进一步升级,在机房黑洞之上采用了运营商联动黑洞。在遇到大流量攻击时,DDoS防御系统调用运营商黑洞,在运营商侧丢弃流量,可以大大缓解DDoS攻击对机房带宽的压力。

云计算平台也广泛采用了此类黑洞技术隔离被攻击用户,保证机房和未受攻击用户不受DDoS攻击影响。 不仅如此,云计算平台的优势在于提供了灵活可扩展的计算资源和网络资源,通过整合这些资源,用户可以有效缓解DDoS带来的影响。

黑洞是如何抵挡 DDoS 攻击的

目前最常用的黑洞防御手段的流程图如上图所示。攻击时,黑客会从全球汇集攻击流量,攻击流量汇集进入运营商的骨干网络,再由骨干网络进入下一级运营商,通过运营商的线路进入云计算机房,直到抵达云主机。 而我们的防御策略刚好是逆向的,云服务商与运营商签订协议,运营商支持云服务厂商发布的黑洞路由,并将黑洞路由扩散到全网,就近丢弃指定IP的流量。当云服务商监测到被攻击,且超出了免费防御的限度后,为了防止攻击流量到达机房的阈值,云计算系统会向上级运营商发送特殊的路由,丢弃这个 IP 的流量,使得流量被就近丢弃在运营商的黑洞中。

为什么托管服务商不会替你无限制承担攻击?

一般来说,服务商会帮你承担少量的攻击,因为很多时候可能是探测流量等,并非真实的攻击,如果每次都丢入黑洞,用户体验极差。 DDoS攻击是我们共同的敌人,大多数云计算平台已经尽力为客户免费防御了大多数的DDoS,也和客户共同承担DDoS的风险。当你受到了大规模 DDoS 攻击后,你不是唯一一个受害者,整个机房、集群都会受到严重的影响,所有的服务的稳定性都无法保障。 除此之外,在上面我们说到,目前 DDoS 都是带宽消耗型攻击,带宽消耗攻击型想要解决就需要提升带宽,但是,机房本身最大的成本便是带宽费用。而带宽是机房向电信、联通、移动等通信运营商购买的,运营商的计费是按照带宽进行计费的,而运营商在计费时,是不会将 DDoS 的攻击流量清洗掉的,而是也算入计费中,就导致机房需要承担高昂的费用。如果你不承担相应的费用,机房的无奈之下的选择自然便是将你的服务器丢入黑洞。

当你的主机被攻击后,服务商如何处理?

目前随着大家都在普遍的上云,我们在这里整理了市场上的几家云计算服务提供商的黑洞策略,来供你选择。

AWS

AWS 的 AWS Sheild 服务为用户提供了 DDoS 防御服务。该服务分为免费的标准版和收费的高级班,免费的标准版不承诺防护效果,存在屏蔽公网 IP 的可能。付费版只需要每月交 3000 美元,则可以享受防护服务。

Azure

Azure 为用户提供了免费的抗 DDoS 攻击的服务,但是不承诺防护的效果。如果攻击的强度过大,影响到了云平台本身,则存在屏蔽公网 IP 的可能。

阿里云

阿里云的云盾服务为用户提供 DDoS 攻击的防护能力,在控制成本的情况下,会为用户免费抵御 DDoS 攻击,当攻击超出阈值后,阿里云就会对被攻击 IP 实行屏蔽操作。 阿里云免费为用户提供最高 5Gbps 的恶意流量的攻击防护,你可以在各个产品(ECS、SLB、EIP等)的产品售卖页面看到相关的说明和条款。在其帮助文档也说明了相关的服务的限制。

腾讯云

腾讯云也为用户提供了免费的 DDoS 攻击防护服务,其免费提供的防御服务的标准如下:外网 IP 被攻击峰值超过 2Gbps 会执行 IP 封堵操作(丢入黑洞),一般黑洞的时长为2小时,大流量攻击时,封堵的时长从24小时到72小时不等。

普通 IDC

普通的 IDC 大多不提供防御能力,如果受到攻击,会存在被拔网线的可能。

如何合理的借助云计算的能力来抵抗 DDoS 攻击

合理的借助云计算的能力,可以让我们尽可能的减少被攻击时的损失: 1,充分利用云平台的弹性可扩展资源。设计可以横向扩展的系统架构,避免IP资源或者CPU资源耗尽,不仅可以有效缓解DDoS攻击的影响,而且可以提升系统可靠性。 2,缩小攻击半径。在设计系统时分离应用层和数据层,分离网络访问层和系统服务层,充分利用云服务提供商提供的云数据库、云存储、负载均衡、云网络等产品,可以有效缓解DDoS攻击的危害。 3,考虑选择合适的DDoS防护方案,主动抵御可能出现的DDoS攻击。 4,准备应对DDoS预案,第一时间响应并实施应对方案。

0条大神的评论

发表评论