1.、什么是DDoS

　　DDoS全名是Distributed Denial of Service，即分布式拒絕服務攻擊。它是將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊(DoS攻擊即為導致服務器拒絕服務的攻擊方式)，用來堵塞被攻擊者上網帶寬或者消耗服務器資源的方法，令服務器拒絕響應正常的服務請求，從而使網站無法正常訪問。

　　2.、DDoS攻擊體系結構

　　DDoS攻擊是難以防范的攻擊手段之一。我們怎么樣來防范DDoS攻擊呢?我們首先要了解DDoS攻擊的三個階段，然后再了解如何將這種攻擊的危害降到最低。一個DDoS攻擊一般分為三個階段。第一階段是目標確認：黑客會在互聯(lián)網上鎖定一個網站的IP地址。黑客通過各種手段了解以下信息：被攻擊目標主機數目、地址情況;目標主機的配置、性能;目標的帶寬。通過上述這三種信息來確定使用多少臺傀儡機才能達到攻擊效果。

　　第二個階段是準備階段：在這個階段，黑客會入侵互聯(lián)網上大量的鏈路狀態(tài)好、性能優(yōu)秀但沒有良好防護系統(tǒng)的計算機。黑客可以通過掃描工具進行漏洞掃描，并植入相應的木馬程序，或對某些頁面插入惡意代碼。隨后將DDoS攻擊用的控制程序上載至一臺或幾臺控制傀儡主機上。將DDoS攻擊使用的發(fā)包程序植入大量的攻擊傀儡主機上。

　　第三個階段是實際攻擊階段：黑客會登錄到控制傀儡主機，利用控制傀儡主機上的DDoS攻擊控制程序向所有的攻擊傀儡主機發(fā)出命令。所有攻擊傀儡主機利用DDoS的發(fā)包程序，向目標主機發(fā)送大量的數據包，直到目標無法處理大量的數據或者頻寬被占滿為止。

　　3、分析DDoS的攻擊方式

　　我們通過分析防火墻的特定日志，發(fā)現很多發(fā)送訪問請求的來源地址全都是假地址，無法跟蹤攻擊來源。黑客通過這些傀儡計算機偽造發(fā)送攻擊數據包的IP地址，并且將攻擊目標的IP地址插在數據包的原始地址處，這就是所謂的反射攻擊。我們通過安裝tcpview軟件發(fā)現很多訪問者是通過tcp訪問的半連接，服務器無法對這些半連接進行處理，這種DDoS攻擊利用TCP和HTTP等協(xié)議定義的行為來不斷占用服務器資源，包括CPU、緩存、內存、會話連接數等資源，以阻止服務器處理正常事務和請求。因此我們無法通過軟件防火墻阻止這種DDoS攻擊，但是知道了這種攻擊的原理，我們就可以通過其他的方式盡量減小這種攻擊所帶來的影響。

　　4、如何防止DDoS的攻擊

　　入侵過濾(Ingress filtering)是一種簡單而且所有網絡都應該實施的安全策略。在網絡邊緣(比如每個與外網直接相連的路由器)，應該建立一個路由聲明，將所有數據來源IP標記為本網地址的數據包丟棄。雖然這種方式并不能防止DDoS攻擊，但是卻可以預防DDoS反射攻擊。接下來通過運營商讓合法服務請求及流量通過，可以將其中一些受攻擊情況較輕的路由器恢復正常，只保留承受攻擊最重的那個路由器來拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協(xié)助阻擋攻擊數據包，你的網絡將很快恢復正常。

　　5、主要采取的措施

　　DDoS攻擊很狡猾，也很難預防，但是你可以通過以上方式及時減輕這種攻擊對網絡的影響。面對攻擊，你只需要快速地響應和采取正確的方法，就可以及時發(fā)現攻擊數據流并將其阻擋?；谀壳暗募夹g，采用的主要措施有：關閉服務器不必要的服務和端口;通過DDoS軟件防火墻限制同時打開的SYN半連接數目;縮短SYN半連接的time out時間;正確設置防火墻，禁止對主機的非開放服務的訪問，限制特定IP地址的訪問，啟用防火墻的安全策略，嚴格限制對外開放的服務器的向外訪問，運行端口映射，程序端口掃描程序，要認真檢查特權端口和非特權端口，記錄流量變法的參數值;認真檢查網絡設備和主機/服務器系統(tǒng)的日志。只要日志出現漏洞或是時間變更，說明這臺機器就有可能遭到了攻擊;限制在防火墻外的網絡文件共享，通過防火墻對特定的URL進行防護;聯(lián)系運營商將一些攻擊頻繁的客戶端進行自動屏蔽，增大帶寬的流量。

歡迎訪問更多網站推廣,網絡營銷,網站優(yōu)化,SEO相關內容