常见的DDoS攻击与防御
继续走80sec的知道然后黑客It这里的DDoS攻击和防御问题简单的谈一下。DDoS全称是分布式拒绝
服务攻击,因为它是一个拒绝服务由于某种
原因停止服务有限,其中最重要、最常见的原因是
服务器资源的利用,在很宽的范围内的服务器资源,可以简单的将正常完成的请求:
1个
用户在客户端
浏览器中
输入请求的
地址。
2个浏览器解析请求,包括对其中DNS的分析,以清除需要到达的远程服务器地址。
3,在显式地址、浏览器和服务器服务试图建立
连接后,尝试通过
本地网络建立连接的数据包,中间
路由最终到达
目标网络,然后到达目标服务器。
4当
网络连接完成时,浏览器根据请求
设置不同的包,并将数据包发送到服务器上的端口。
5个端口被映射到
进程,并且在包被接受后对内部进行解析。
6请求服务器内部的各种不同资源,包括后端API和一些数据库或
文件等。
7在完成逻辑
处理之后,通过先前建立的通道将数据包返回给用户的浏览器,浏览器完成解析并完成请求。
以上每个点都可以用于DDoS攻击,包括:
1名著名客户劫持
病毒,记得去百度跳狗吗:)
2,在大型互联网
公司中发生DNS劫持事件,或大量DNS请求直接攻击DNS服务器。在这里,我们可以使用一些专业的第三方DNS服务来缓解这个问题,如DNSPOD。
3利用网络资源建立连接的网络攻击服务器的带宽需要正常的数据包无法到达的UDP洪水攻击,资源消耗CPU的前端设备,包不能有效转发如ICMP和数据包洪水攻击的一些片段,对服务器的连接建立正常消费需要的资源如SYN洪水或占用大量的连接,连接不能正常
启动,如TCP洪水
4使用一些Web服务器的特点进行攻击,相比,Nginx是由Apache处理请求的过程是繁琐的。
5,利用
应用程序中的某些特性来攻击程序的内部资源,如MySQL、后端资源的消耗等,这是传统CC攻击。
这里是防御的概念,但实际上如果了解对方的攻击点和防御攻击,将成为争取资源的过程是简单的,不要用你最弱的地方攻击最强的地方的人,应该从最合适的地方开始
解决问题,例如,解决应用层攻击
路由器的设备是不是一个好办法,同样,尝试是不可能解决的问题,在网络层,应用层是简单的,唯一的目标就是让正常的数据和我们的服务的要求,一个完善的防御体系应该考虑以下几个方面:
1作为用户的请求条目,必须有良好的DNS防御。
2,将带宽资源与您的价值相匹配,并在
核心节点上放置一个良好的应用层防御
策略,只允许正常应用程序网络数据包进入,例如,除80之外阻止所有数据包。
如果有必要,有3类机器来
支持你的服务价值在应用层的抗压力,将需要一个HTTP请求建立分解过程,将压力分解到其他的集群连接,似乎有一个通用的
硬件防火墙来做这件事,即使正常解析处理HTTP请求的所有分解,确保达到正常要求,消除请求畸形,用于记录和监测正常请求的请求
频率,一旦堵塞异常应用层