DDoS拒絕服務的攻擊和安全防範技術

來源:互聯網
上載者:User

  一、 DDoS拒絕服務的攻擊簡介

  “拒絕服務(Denial-Of-Service)攻擊就是消耗目標主機或者網路的資源,從而幹擾或者癱瘓其為合法使用者提供的服務。”國際權威機構“Security FAQ”給出的定義。

  DDOS則是利用多台電腦機,採用了分布式對單個或者多個目標同時發起DoS攻擊。其特點是:目標是“癱瘓敵人”,而不是傳統的破壞和竊密;利用國際互連網遍布全球的電腦發起攻擊,難於追蹤。

  目前DDoS攻擊方式已經發展成為一個非常嚴峻的公用安全問題,被稱為“駭客終極武器”。但是不幸的是,目前對付拒絕服務的攻擊的技術卻沒有以相同的速度發展,TCP/IP互連網協議的缺陷和無國界性,導致目前的國家機制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲、Botnet相結合,發展成為自動化播、集中受控、分布式攻擊的網路訛詐工具。據方正資訊安全技術有限公司的有關專家介紹,DOS從防禦到追蹤,已經有了非常多的辦法和理論。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術僅能起到緩解攻擊、保護主機的作用,要徹底杜絕DDoS攻擊將是一個浩大的工程技術問題。

  二、攻擊原理

  目前DDoS攻擊主要分為兩類:頻寬耗盡型和資源耗盡型。

  頻寬耗盡型主要是堵塞目標網路的出口,導致頻寬消耗不能提供正常的上網服務。例如常見的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對此類攻擊一般採取的措施就是QoS,在路由器或防火牆上針對此類資料流限制流量,從而保證正常頻寬的使用。單純頻寬耗盡型攻擊較易被識別,並被丟棄。

  資源耗盡型是攻擊者利用伺服器處理缺陷,消耗目標伺服器的關鍵資源,例如CPU、記憶體等,導致無法提供正常服務。例如常見的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統對正常網路通訊協定處理的缺陷,使系統難於分辨正常流和攻擊流,導致防範難度較大,是目前業界最關注的焦點問題,例如方正SynGate產品就是專門防範此類的產品。

  針對DDoS的攻擊原理,對DDoS攻擊的防範主要分為三層:Source-end攻擊源端防範、Router-based路由器防範、Target-end目標端防範。其中攻擊端防護技術有DDoS工具分析和清除、基於攻擊源的防範技術;骨幹網防護技術有會推技術、IP追蹤技術;目標端防護措施有DDoS攻擊探測、路由器防範、網關防範、主機設定等方法。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。