DDOS即分布式拒绝服务攻击,攻击者利用不同位置的大量“肉鸡”对目标发动大量的正常或非正常请求,耗尽目标主机资源和网络资源,使被攻击的主机不能正常为合法用户提供服务。
DDOS攻击具有攻击成本低、危害大、防御难的特点,是企业安全建设需要防范的风险之一,本节介绍DDOS攻击分类及危害、DDOS攻击的常用方案,并重点阐述云抗DDOS攻击应用方案。
目录
前言:
DDOS攻击分类及危害
1.DDOS攻击分类
2.DDOS攻击危害
DDOS攻击防护方案
云抗DDOS攻击应用实践
1.云抗DDOS攻击防护方案说明
2.云抗DDOS攻击注意事项
典型应用案例
1.背景
2.DDOS防护方案
DDOS攻击分类及危害
从DDOS攻击的类型上,主要分为流量型攻击和应用型攻击。流量型攻击如SYNFoold、ACK Flood、UDP Flood;应用型攻击主要包括HTTP CC攻击、DNS Query Flood。
如图1为SYN Flood攻击,客户端发送SYN包给服务端,服务端返回SYN ACK包,客户端会返回ACK确认包,完成3次握手。但是攻击者可以很容易伪造源IP发送SYN包,服务端响应SYN ACK包,但客户端永远不会回复ACK确认包,所以服务端会不断重试(一般会5次),当大量的恶意攻击请求包发送过来后,服务端需要大量的资源维护这些半连接,直到资源耗尽。
图1 SYN Flood攻击示意图
如图2,为CC攻击的软件示意图,该软件可以接入代理IP源,每个请求使用不同代理IP,并且可以修改请求的浏览器UA、控制线程数、选择攻击目标等,攻击的效率非常高,只要掌握数台机器和代理IP资源,就可以发送大量的HTTP请求,耗尽Web服务器的性能。
图2 CC攻击示意图
2.DDOS攻击危害如果是流量型攻击,很容易把互联网入口堵死,一般DDOS流量攻击动不动就是10G打起,对于一般中小企业,互联网总带宽远小于这个量级,很容易就被打垮。如果是托管在运营商或第三方数据中心机房,为了保障在同机房中的其他客户能正常使用互联网带宽资源,往往会将被攻击的IP临时摘除(黑洞),让黑客的攻击流量无法送达。如图3为流量型攻击的示例图,运营商的抗DDOS设备上监控到的10G左右的攻击流量从不同地方打过来。
在湖南的小伙伴应该知道:5月份某日湖南电信遭遇DDOS洪水攻击导致下午几个小时全省集体断网....
