紅客聯(lián)盟CEO與天津站長探討DDOS攻防
時間:2022-07-23 11:00:01 | 來源:建站知識
時間:2022-07-23 11:00:01 來源:建站知識
6月8日20:00�,天津市軟件行業(yè)協(xié)會互聯(lián)網(wǎng)應用分會官方QQ群:39241075,第四期群例會研討活動正式開始�。中國紅客聯(lián)盟CEO主講DDOS攻防。以下是研討記錄:
日期:2007年6月8日 20:00
官方QQ群:39241075
嘉賓:SHARPWINNER
===================================================================
互聯(lián)劉維君(老麥296128095):
各位好��,近日天津一些網(wǎng)站受到網(wǎng)絡攻擊����,造成不同程度的損失��。今天我們在admin5站長網(wǎng)稻草的支持下�����,邀請SHARPWINNER進行一次WEB安全的研討活動���,形式依然是請SHARPWINNER先講20-30分鐘���,中間請不要打斷�,然后大家提問討論一下�����。
簡單介紹一下:
SHARPWINNER是中國紅客聯(lián)盟(www.redhacker.cn)CEO�����,《紅客風云》作者�����,著有《解讀紅客-內(nèi)幕大曝光》�����。
曾接受過中國教育電視臺衛(wèi)星頻道(CETV-SD)《數(shù)字E族》等媒體訪問�����,《百變紅客SHARPWINNER》目前國內(nèi)各大論壇均有轉(zhuǎn)載���。
SharpWinner:
今天給大家講DDOS攻防方面的技術(shù)����,隨著互聯(lián)網(wǎng)寬帶不斷的普及,越來越多的人使用上了寬帶網(wǎng)絡 ���,但是同時也給黑客們帶來了很多機會。這幾年以來�����,各種各樣技術(shù)的DDOS工具也越來越多�����,DDOS攻擊的實施也越來越容易����,于是,商業(yè)競爭����,敲詐勒索等越來越多的使用到DDOS技術(shù)。很多IDC機房����,電子商務網(wǎng)站���,游戲服務器等一直被DDOS攻擊技術(shù)所困擾,由此引發(fā)的法律糾紛�����,商業(yè)損失等等問題也越來越多�,因此解決DDOS問題成了很多網(wǎng)絡服務商,個人站長���,有網(wǎng)站的公司必須考慮的重要事項。
我想簡單做個調(diào)查��,現(xiàn)在大家有受到過DDOS的攻擊嗎�����?...
看來DDOS攻擊的問題就在大家身邊發(fā)生
我們現(xiàn)在來分析DDOS的攻擊原理�。
首先,DDOS是英文Distributed Denial of Service的縮寫��,意思是分布式拒絕服務�。
拒絕服務又是什么意思呢?就是采取一些垃圾數(shù)據(jù)包來阻塞網(wǎng)站的網(wǎng)絡通道���,導致讓網(wǎng)站不能正常訪問����。分布式服務拒絕攻擊就是用一臺主服務器來控制N臺肉雞來對目標服務器進行服務拒絕攻擊的方式
我們現(xiàn)在來講講被DDOS攻擊的癥狀。
首先是網(wǎng)站如果打不開的話����,可以嘗試著用3389連接一下服務器看看�,然后還可以用PING命令來測試,再一種方式就是用telnet來登錄80端口看看���,看會不會出現(xiàn)黑屏���。如果這些方式測試都連接不上的話,那就說明受到DDOS攻擊了����。
然后如果除了80端口之外的其他端口連接都正常,PING命令測試也正常�����,但就是80端口訪問不了�����,然后看看IIS是否正常,可以把80端口改成其他端口測試����,如果可以正常訪問,那就說明很可能受到CC攻擊�����。
那現(xiàn)在我們再來詳細講講幾種流行的DDOS攻擊方式
n SYN/ACK Flood攻擊
這種攻擊方法是經(jīng)典最有效的DDOS方法�,通殺各種系統(tǒng)的網(wǎng)絡服務,主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包���,導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務����,由于源都是偽造的故追蹤起來比較困難���,缺點是實施起來有一定難度�,需要高帶寬的僵尸主機支持���。
少量的這種攻擊會導致主機服務器無法訪問�����,但卻可以Ping的通��,在服務器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)����,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效���,并會出現(xiàn)系統(tǒng)凝固現(xiàn)象,即不響應鍵盤和鼠標��。普通防火墻大多無法抵御此種攻擊 ���。
n TCP全連接攻擊
這是第二種攻擊方式
這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的���,一般情況下,常規(guī)防火墻大多具備過濾TearDrop��、Land等DOS攻擊的能力��,但對于正常的TCP連接是放過的���。殊不知很多WEB服務程序能接受的TCP連接數(shù)是有限的��,一旦有大量的TCP連接��,即便是正常的����,也會導致網(wǎng)站訪問非常緩慢甚至無法訪問。
TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接��,直到服務器的內(nèi)存等資源被耗盡而被拖跨���,從而造成拒絕服務�。這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的����,缺點是需要找很多僵尸主機,并且由于僵尸主機的IP是暴露的����,因此容易被追蹤
n CC攻擊
現(xiàn)在來講第三種攻擊方式,這種攻擊方式實質(zhì)上是針對ASP,PHP,JSP等腳本程序�,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設計的���。特征是和服務器建立正常的TCP連接��,并不斷的向腳本程序提交查詢����、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用�����,典型的以小博大的攻擊方法����。
一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的���,而服務器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的�,常見的數(shù)據(jù)庫服務器很少能支持數(shù)百個查詢指令同時執(zhí)行,而這對于客戶端來說卻是輕而易舉的����,因此攻擊者只需通過Proxy代理向主機服務器大量遞交查詢指令,只需數(shù)分鐘就會把服務器資源消耗掉而導致拒絕服務,常見的現(xiàn)象就是網(wǎng)站慢如蝸牛�、ASP程序失效、PHP連接數(shù)據(jù)庫失敗�����、數(shù)據(jù)庫主程序占用CPU偏高��。
這種攻擊的特點是可以完全繞過普通的防火墻防護�����,輕松找一些Proxy代理就可實施攻擊���,缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣��,并且有些Proxy會暴露攻擊者的IP地址
剛才我們講了幾種目前用得比較多的DDOS攻擊方式��,那我們現(xiàn)在怎么來防御DDOS攻擊呢���?
對付DDOS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的��,可以肯定的是��,完全杜絕DDOS目前是不可能的。但通過適當?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的���,基于攻擊和防御都有成本開銷的緣故���,若通過適當?shù)霓k法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本����,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當于成功的抵御了DDOS攻擊��。
那么首先的一種方式就是采用高性能的網(wǎng)絡設備�����,保證網(wǎng)絡設備不能成為瓶頸���,因此選擇路由器�����、交換機、硬件防火墻等設備的時候要盡量選用知名度高�����、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡提供商有特殊關(guān)系或協(xié)議的話就更好了�����,當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的���。
第二種方式是充足的網(wǎng)絡帶寬
網(wǎng)絡帶寬直接決定了能抗受攻擊的能力���,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊�。當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主干上了 ����,但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的��,若把它接在100M的交換機上����,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬�,因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M�����,這點一定要搞清楚�。
然后最好的防范方式就是采用專業(yè)的抗DDOS防火墻�����,目前來說抗DDOS防火墻最高達到了10G�����,2G,4G,6G的集群防火墻現(xiàn)在都比較普遍��,像這樣的防火墻價格也是非常昂貴�����,從幾萬到幾十萬都有��,那么對于個人站長來說肯定是難以接受的��。但是還是有變通的辦法����,
現(xiàn)在我們紅盟推出了千兆防火墻的服務器空間,多加共同來租用服務器空間這樣就會把價錢降下來
然后還有一種最好的抗DDOS的技術(shù)�,這種就是負載均衡,這種是對于一些大型IT企業(yè)而言的��,增加服務器的數(shù)量來采用負載均衡技術(shù)���,甚至購買七層的交換機設備�����,這樣讓抗DDOS的能力成倍增加�����,這樣黑客攻擊的成本就會非常高�����,以至于黑客會放棄���。
好,今天我們告訴大家�,DDOS的概念以及原理,然后攻擊的癥狀��,以及怎樣來防御,那這些我們都已經(jīng)講完了��,大家有什么問題現(xiàn)在可以提出來��。
互聯(lián)劉維君(老麥296128095):
SHARPWINNER為今天的研討做了很多準備��,非常感謝���,下次我們將進行關(guān)于入侵的研討����。
在線咨詢
