DDOS攻擊如何防禦

2021-02-25 悟安

近年來,DDoS攻擊勢頭愈演愈烈,其中包括:流量攻擊、CC攻擊。

流量攻擊是消耗網絡帶寬或使用大量數據包淹沒一個或多個路由器、伺服器和防火牆;帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數據包被傳送到特定目的地;為了使檢測更加困難,這種攻擊也常常使用源地址欺騙,並不停地變化,這種攻擊形式需要通過第三方抗ddos服務(阿里雲、百度雲抗、騰訊雲),可以實現防禦。

CC攻擊是 DDOS(分布式拒絕服務) 的一種,DDoS是針對IP的攻擊,而CC攻擊的是網頁。CC攻擊來的IP都是真實的,分散的。數據包都是正常的數據包,攻擊的請求全都是有效的請求,無法拒絕的請求。伺服器可以連接,但是網頁就是訪問不了,也見不到特別大的異常流量,但是持續時間長,仍能造成伺服器無法進行正常連接,危害更大。由此可見稱其為「Web殺手」毫不為過。

CC攻擊的種類有四種:直接攻擊,殭屍網絡攻擊,代理攻擊,肉雞攻擊。

動態網站,比如asp/asp.net,在被CC攻擊的情況下,IIS站點會出錯提示SERVER IS TOO BUSY,如果不是使用IIS來提供網站服務,會發現提供網站服務的程序無緣無故自動崩潰,出錯。

靜態網站,比如html,在被CC攻擊的情況下,打開任務管理器,看網絡流量,會發現網絡應用裡數據的發送出現嚴重偏高的現象,在大量的CC攻擊下,甚至會達到99%的網絡佔用。

小量CC攻擊,則站點還是可以間歇性訪問得到,但是一些比較大的文件、圖片就會顯示不出來,伺服器的CPU佔用率也會出現飆升的現象。這就是基本的CC攻擊症狀。

(1) 完善日誌:養成保留完整日誌的習慣,通過日誌分析程序,能夠儘快判斷出異常訪問,同時也能收集有用的信息。

(2) 取消域名綁定:一般cc攻擊都是針對網站域名,對於這樣的攻擊我們的措施是在IIS上取消這個域名的綁定,讓CC攻擊失去目標。具體步驟是:打開「IIS管理器」定位到具體站點右鍵「屬性」打開該站點的屬性面板,點擊IP位址右側的「高級」按鈕,選擇該域名項進行編輯,將「主機頭值」刪除或者改為其它的值(域名)。

缺點:取消或者更改域名對於別人的訪問帶來了不便,對於針對IP的CC攻擊它是無效的,就算更換域名攻擊者發現之後,他也會對新域名實施攻擊。

(3) 使用DDoS高防IP:高防IP是是針對網際網路伺服器在遭受網際網路惡意攻擊後導致服務不可用的情況下,推出的付費增值服務,用戶可以通過配置高防IP, 將攻擊流量引流到高防IP,確保源站的穩定可靠。

CC攻擊的門檻低,成本不高,所以網站被惡意攻擊的情況屢見不鮮,大家可以加裝安全軟體或者配合預防CC攻擊的服務使用,這樣網站才會更加的安全。

(4) 更改Web埠:通常情況下Web伺服器通過80埠對外提供服務,因此攻擊者也以默認的80埠進行攻擊,所以修改Web埠可以防禦CC攻擊。運行IIS管理器,定位到相應站點,打開站點「屬性」面板,在「網站標識」下有個TCP埠默認為80,修改為其他的埠即可。

(5) IIS屏蔽IP:我們通過命令或在查看日誌發現了CC攻擊的源IP,就可以在IIS中設置屏蔽該IP對Web站點的訪問。在相應站點的「屬性」面板中,點擊「目錄安全性」選項卡,點擊「IP位址和域名現在」下的「編輯」按鈕打開設置對話框。也可以在此窗口設置「授權訪問」也就是「白名單」,也可以設置「拒絕訪問」即「黑名單」。

相關焦點

  • 強大的Ddos攻擊工具-Ddos-dos-tools!
    Ddos-dos-tools是GitHub上一位叫wenfengshi大神所開發的ddos攻擊工具,但工具在一定程度上定義不只是作為攻擊,還可以作為對系統進行自檢的一種途徑,通過對系統發起ddos攻擊來驗證系統的抗風險能力。
  • 【連載】每秒百萬級CC攻擊----DDOS 防禦事件(二)
    DDoS攻擊勢頭愈演愈烈,除了攻擊手法的多樣化發展之外,udp攻擊是相對比如好防禦,這是四層流量攻擊。最麻煩的攻擊手段是cc攻擊。下面我祥細講講CC攻擊之後有什麼表現,如何防禦,有Cc有什麼攻擊類型。早些年,最早做視頻直播的是在韓國,他們在中國周邊,也就是延邊那些地區招了一些會說韓語的女孩子陪韓國大叔聊天,韓國大叔就會給禮品。
  • T級攻防:大規模DDOS防禦架構
    ,因為DDOS是一類攻擊而並不是一種攻擊,並且DDOS的防禦是一個可以做到相對自動化但做不到絕對自動化的過程,很多演進的攻擊方式自動化不一定能識別,還是需要進一步的專家肉眼判斷。 自動化的防禦機制大部分都是依靠設置閾值來觸發。儘管很多廠商宣稱自己的防禦措施都是秒級響應,但實際上比較難。 網絡層的攻擊檢測通常分為逐流和逐包,前者根據netflow以一定的抽樣比例(例如1000:1)檢測網絡是否存在ddos攻擊,這種方式因為是抽樣比例,所以精確度較低,做不到秒級響應。
  • 【DDOS】攻擊與防禦
    這種攻擊早在1996年就被發現,但至今仍然顯示出強大的生命力,可謂「長生不老」。很多作業系統,甚至防火牆、路由器都無法有效地防禦這種攻擊,而且由於它可以方便地偽造源地址,追查起來非常困難。難以駕馭是UDP Flood防禦技術的特點,同樣也是商陽劍的特點,雖難以捉摸,不過一旦純熟,效果極佳。3—— DNS Flood防禦技術 在UDP Flood的基礎上對 UDP DNS Query Flood 攻擊進行防護,根據域名 IP 自學習結果主動回應,減輕伺服器負載(使用 DNS Cache)。
  • 淺析 DDoS 的攻擊及防禦
    而未來網絡戰爭將會出現更加廣泛的攻擊、更加頻繁的攻擊和更加精準的攻擊,面對這些來臨的時候,我們應該如何應對?考慮把網站做成靜態頁面把網站儘可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,最好在需要調用資料庫的腳本中,拒絕使用代理的訪問,經驗表明,使用代理訪問你網站的80%屬於惡意行為。分布式集群防禦這是目前網絡安全界防禦大規模DDoS攻擊的最有效辦法。
  • 深入淺出DDoS攻擊防禦
    但有一種攻擊卻反其道而行之,以慢著稱,以至於有些攻擊目標被打死了都不知道是怎麼死的,這就是慢速連接攻擊,最具代表性的是rsnake發明的Slowloris。HTTP 協議規定,HTTP Request以\r\n\r\n結尾表示客戶端發送結束,服務端開始處理。那麼,如果永遠不發送\r\n\r\n會如何?Slowloris就是利用這 一點來做DDoS攻擊的。
  • DDoS攻擊花樣百出,第三季度多個行業被暴擊
    最常遭到DDoS攻擊的行業有哪些?DDoS攻擊是目前被公認為最難防禦的網絡攻擊之一,最常遭到DDoS攻擊的行業有哪些?那要如何從IP源地址角度預防DDoS攻擊呢?如上所述,研究人員發現了一種通過TCP欺騙受害者IP位址的方法。那要如何從IP源地址角度預防DDoS攻擊呢?
  • 淺談 DDoS 攻擊與防禦
    一次新的脈衝波攻擊從零開始,在很短的時間跨度內達到最大值,然後歸零,再回到最大值,如此循環重複,中間的時間間隔很短。脈衝波型 DDoS 相對難以防禦,因為其攻擊方式避開了觸發自動化的防禦機制。常見的有:CC 攻擊、DNS Flood、慢速連接攻擊等。CC 攻擊(Challenge Collapsar)是 DDoS 攻擊的一種,其前身名為 Fatboy 攻擊,也是一種常見的網站攻擊方法。CC 攻擊還有一段比較有趣的歷史,Collapsar 是綠盟科技的一款防禦 DDoS 攻擊的產品品牌,Collapasar 在對抗拒絕服務攻擊的領域內具有比較高的影響力和口碑。
  • 什麼是DDoS攻擊?如何抵禦DDos攻擊?
    如何理解DDoS攻擊一群惡霸試圖讓對面那家有著競爭關係的商鋪無法正常營業,他們會採取什麼手段呢?就這兩種拒絕服務攻擊而言,危害較大的主要是 DDOS 攻擊,原因是很難防範,至於 DOS 攻擊,通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範。DDOS 的表現形式主要有兩種:如何判斷網站是否遭受了流量攻擊?
  • 什麼是 DDoS 攻擊以及怎樣防禦
    DDoS 攻擊可大致分為三類:體積攻擊、協議攻擊和應用層攻擊。1、飽和攻擊(Volumetric Attacks)飽和攻擊,即容量耗盡攻擊,是最常見的 DDoS 攻擊類型。採用海量虛假流量(有時超過 100 Gbps)以淹沒您的網絡帶寬。黑客利用大量分布於世界各地的計算機和網際網路連接,發送大量的流量數據包到目標伺服器和網站。
  • 原創 | DDoS攻擊技術分析與防禦
    本文系統的對DDoS攻擊進行技術分析和檢測防禦方法介紹,以便提升企業網絡安全防護水平。( 1 ) DoS攻擊:(Denial of Service)拒絕服務攻擊,這種攻擊行為是使目標伺服器充斥大量要回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷而停止提供正常的網絡服務。
  • DDoS攻擊、CC攻擊的攻擊方式和防禦方法
    單臺負載每秒可防禦800-927萬個syn攻擊包。3. 分布式集群防禦:這是目前網絡安全界防禦大規模DDOS攻擊的最有效辦法。分布式集群防禦的特點是在每個節點伺服器配置多個IP位址(負載均衡),並且每個節點能承受不低於10G的DDOS攻擊,如一個節點受攻擊無法提供服務,系統將會根據優先級設置自動切換另一個節點,並將攻擊者的數據包全部返回發送點,使攻擊源成為癱瘓狀態,從更為深度的安全防護角度去影響企業的安全執行決策。
  • 在Linux上使用netstat命令查證DDOS攻擊的方法
    這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行,信用卡支付網管,甚至根域名伺服器。伺服器出現緩慢的狀況可能由很多事情導致,比如錯誤的配置,腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
  • 淺析各類DDoS攻擊放大技術
    公開DNS解析和NTP協議MONLIST命令攻擊,兩種攻擊方法依靠其協議的廣泛應用,影響範圍不言而喻。混合放大,利用通用協議的攻擊方式很穩定,通過標準的結點發現機制很快找到放大點。由於其利用的動態埠範圍和握手加密,攻擊不會被常規防火牆發現,只有進行深度的包檢查才能發現。
  • 回顧網易2020年DDoS攻擊,我們怎麼解決的?(文末有福利)
    我們今天介紹的就是四層DDoS,傳輸層以下(包括傳輸層)的DDoS攻擊。應用層DDoS又叫CC攻擊,針對的是HTTP協議的攻擊,我廠基本沒有遭受過此類攻擊,掃描器請求倒不少,這裡略過。攻擊百G峰值佔比攻擊流量是年年新高,以前的100G+的攻擊是個稀罕物,現在基本月月見。原因就是網絡帶寬越來越大,肉雞越來越多了。
  • 網站被DDOS攻擊的防禦方法
    分布式拒絕服務攻擊(DDOS)是目前常見的網絡攻擊方法,它的英文全稱為Distributed Denial of Service?
  • 如何從IP源地址角度,預防DDoS攻擊?
    從1966年分布式拒絕服務(DDoS)攻擊誕生至今,便一直困擾著網絡安全,尤其是隨著新技術的不斷催生,導致 DDoS 攻擊結合新技術演變出多種類型。DDoS 攻擊作為黑灰產的手段之一,使許多企業與國家蒙受巨大損失。
  • DDOS工具推薦
    然而隨著網絡上免費的可用DDOS工具增多,Dos攻擊也日益增長,下面介紹幾款Hacker常用的Dos攻擊工具。‍特別提示:僅用於攻防演練及教學測試用途,禁止非法使用‍正文‍‍1、盧瓦(LOIC) (Low Orbit Ion Canon)LOTC是一個最受歡迎的DOS攻擊工具。這個工具被去年流行的黑客集團匿名者用於對許多大公司的網絡攻擊。
  • 脈衝波(Pulse Wave):一種新型的DDoS攻擊模式
    近日,DDoS攻擊解決方案提供商Imperva公司發現了一種新型的DDoS攻擊模式,他們將其命名為:脈衝波(Pulse Wave),這種新型餓DDoS攻擊方法給某些DDoS攻擊解決方案帶來了問題,因為它允許攻擊者攻擊以前認為是安全的伺服器
  • 秒懂 DDoS 攻擊!
    DDoS攻擊經過十幾年的發展,已經「進化」的越來越複雜,黑客不斷升級新的攻擊方式以便於繞過各種安全防禦措施。一、什麼是Ddos攻擊DDoS攻擊一般指分布式拒絕攻擊,是一種攻擊者操縱大量計算機,或位於不同位置的多個攻擊者,在短時間內通過將攻擊偽裝成大量的合法請求,向伺服器資源發動的攻擊,導致請求數量超過了伺服器的處理能力,造成伺服器運行緩慢或者宕機。