紅客聯盟CEO與天津站長探討DDOS攻防

仲介交易 SEO診斷淘寶客 站長團購 雲主機 技術大廳

6月8日20:00，天津市軟體行業協會互聯網應用分會官方QQ群：39241075，第四期群例會研討活動正式開始。 中國紅客聯盟CEO主講DDOS攻防。 以下是研討記錄：

                                         日期：2007年6月8日 20：00官方QQ群：39241075嘉賓：SHARPWINNER=============================================== ==================== 互聯劉維君(老麥296128095)： 各位好，近日天津一些網站受到網路攻擊，造成不同程度的損失。 今天我們在admin5站長網稻草的支援下，邀請SHARPWINNER進行一次WEB安全的研討活動，形式依然是請SHARPWINNER先講20-30分鐘，中間請不要打斷，然後大家提問討論一下。 簡單介紹一下：SHARPWINNER是中國紅客聯盟（www.redhacker.cn）CEO，《紅客風雲》作者，著有《解讀紅客-內幕大曝光》。 曾接受過中國教育電視臺衛星頻道（CETV-SD）《數位E族》等媒體訪問，《百變紅客SHARPWINNER》目前國內各大論壇均有轉載。       SharpWinner：今天給大家講DDOS攻防方面的技術，隨著互聯網寬頻不斷的普及，越來越多的人使用上了寬頻網路 ，但是同時也給駭客們帶來了很多機會。 這幾年以來，各種各樣技術的DDOS工具也越來越多，DDOS攻擊的實施也越來越容易，於是，商業競爭，敲詐勒索等越來越多的使用到DDOS技術。 很多IDC機房，電子商務網站，遊戲伺服器等一直被DDOS攻擊技術所困擾，由此引發的法律糾紛，商業損失等等問題也越來越多，因此解決DDOS問題成了很多網路服務商，個人站長，有網站的公司必須考慮的重要事項。  我想簡單做個調查，現在大家有受到過DDOS的攻擊嗎？ ... 看來DDOS攻擊的問題就在大家身邊發生  我們現在來分析DDOS的攻擊原理。 首先，DDOS是英文Distributed Denial of Service的縮寫，意思是分散式阻斷服務。 拒絕服務又是什麼意思呢？ 就是採取一些垃圾資料包來阻塞網站的網路通道，導致讓網站不能正常訪問。 分散式服務拒絕攻擊就是用一台主伺服器來控制N台肉雞來對目標伺服器進行服務拒絕攻擊的方式  我們現在來講講被DDOS攻擊的症狀。 首先是網站如果打不開的話，可以嘗試著用3389連接一下伺服器看看，然後還可以用PING命令來測試，再一種方式就是用telnet來登錄80埠看看，看會不會出現黑屏。 如果這些方式測試都連接不上的話，那就說明受到DDOS攻擊了。 然後如果除了80埠之外的其他埠連接都正常，PING命令測試也正常，但就是80埠訪問不了，然後看看IIS是否正常，可以把80埠改成其他埠測試，如果可以正常訪問，那就說明很可能受到CC攻擊。  那現在我們再來詳細講講幾種流行的DDOS攻擊方式 n         SYN/ACK Flood攻擊這種攻擊方法是經典最有效的DDOS方法，通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務， 由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高頻寬的僵屍主機支援。 少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象 ，即不回應鍵盤和滑鼠。 普通防火牆大多無法抵禦此種攻擊 。  n         TCP全連接攻擊這是第二種攻擊方式 這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下， 常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的。 殊不知很多WEB服務程式能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問。 TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的記憶體等資源被耗盡而被拖跨，從而造成拒絕服務。 這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此容易被追蹤  n          CC攻擊現在來講第三種攻擊方式，這種攻擊方式實質上是針對ASP,PHP,JSP等腳本程式，並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的。 特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程式提交查詢、清單等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。 一般來說，提交一個GET或POST指令對用戶端的耗費和頻寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的， 常見的資料庫伺服器很少能支援數百個查詢指令同時執行，而這對於用戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鐘就會把伺服器資源消耗掉而導致拒絕服務， 常見的現象就是網站慢如蝸牛、ASP程式失效、PHP連接資料庫失敗、資料庫主程式佔用CPU偏高。 這種攻擊的特點是可以完全繞過普通的防火牆防護，輕鬆找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP位址   剛才我們講了幾種目前用得比較多的DDOS攻擊方式，那我們現在怎麼來防禦DDOS攻擊呢？ 對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的。 但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄， 也就相當於成功的抵禦了DDOS攻擊。      那麼首先的一種方式就是採用高性能的網路設備，保證網路設備不能成為瓶頸，因此選擇路由器、交換器、硬體防火牆等設備的時候要儘量選用知名度高、口碑好的產品。 再就是假如和網路供應商有特殊關係或協定的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。  第二種方式是充足的網路頻寬  網路頻寬直接決定了能抗受攻擊的能力，假若僅僅有10M頻寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊。 當前至少要選擇100M的共用頻寬，最好的當然是掛在1000M的主幹上了 ，但需要注意的是，主機上的網卡是1000M的並不意味著它的網路頻寬就是千兆的，若把它接在100M的交換器上，它的實際頻寬不會超過100M， 再就是接在100M的頻寬上也不等於就有了百兆的頻寬，因為網路服務商很可能會在交換器上限制實際頻寬為10M，這點一定要搞清楚。  然後最好的防範方式就是採用專業的抗DDOS防火牆，目前來說抗DDOS防火牆最高達到了10G，2G,4G,6G的集群防火牆現在都比較普遍，像這樣的防火牆價格也是非常昂貴，從幾萬到幾十萬都有， 那麼對於個人站長來說肯定是難以接受的。 但是還是有變通的辦法，現在我們紅盟推出了千兆防火牆的伺服器空間，多加共同來租用伺服器空間這樣就會把價錢降下來  然後還有一種最好的抗DDOS的技術，這種就是負載均衡，這種是對於一些大型IT企業而言的， 增加伺服器的數量來採用負載均衡技術，甚至購買七層的交換器設備，這樣讓抗DDOS的能力成倍增加，這樣駭客攻擊的成本就會非常高，以至於駭客會放棄。  好，今天我們告訴大家，DDOS的概念以及原理，然後攻擊的症狀，以及怎樣來防禦，那這些我們都已經講完了，大家有什麼問題現在可以提出來。  互聯劉維君(老麥296128095)：SHARPWINNER為今天的研討做了很多準備，非常感謝，下次我們將進行關於入侵的研討。