肆合互動,團隊始于2008,為您提供可信任的一站式網(wǎng)站制作和網(wǎng)絡(luò)推廣優(yōu)化服務(wù)!
028-85756675
網(wǎng)站地圖

新聞資訊

為您提供網(wǎng)站建設(shè)資訊、網(wǎng)站優(yōu)化知識、主機域名郵箱、
關(guān)鍵詞排名、網(wǎng)站開發(fā)常見問題等。

淺談網(wǎng)站建設(shè)后可能遇到的DDoS和CC攻擊及其防御方法

發(fā)表日期:2019/11/06 來源:肆合互動 咨詢電話:028-85756675

  一個成功的網(wǎng)站在發(fā)展建設(shè)的同時,都應(yīng)該明白需要做好防攻擊措施,如果前期不做好防御工作,一旦遭遇大量的DDoS攻擊或CC攻擊,那么自己的網(wǎng)站可能會癱瘓,你知道什么是DDoS攻擊和CC攻擊嗎?一起和成都網(wǎng)站建設(shè)公司小編來學(xué)習(xí)一下吧:

  什么是DDoS攻擊和CC攻擊

  DDoS,又稱分布式拒絕服務(wù),信息安全的三要素保密性、完整性和可用性中,DDoS攻擊,針對的目標正是“可用性”。該攻擊方式迫使服務(wù)器的緩沖區(qū)滿,不接收新的請求,使用IP欺騙,迫使服務(wù)器把合法用戶的連接復(fù)位,影響合法用戶的連接。

  CC攻擊,即挑戰(zhàn)黑洞,CC攻擊的原理是通過代理服務(wù)器或者大量肉雞模擬多個用戶訪問目標網(wǎng)站的動態(tài)頁面,制造大量的后臺數(shù)據(jù)庫查詢動作,消耗目標CPU資源,造成拒絕服務(wù)。

  DDoS攻擊的是網(wǎng)站的服務(wù)器,而CC攻擊是針對網(wǎng)站的頁面攻擊的,用術(shù)語來說就是,DDoS一個是WEB網(wǎng)絡(luò)層拒絕服務(wù)攻擊,CC一個是WEB應(yīng)用層拒絕服務(wù)攻擊。

  DDos攻擊的常見方法

  1、SYN Flood:利用TCP協(xié)議的原理,這種攻擊方法是經(jīng)典最有效的DDOS方法,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù),主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK 包,導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。

  2、HTTP Flood:針對系統(tǒng)的每個Web頁面,或者資源,或者Rest API,用大量肉雞,發(fā)送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計的,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用,典型的以小博大的攻擊方法。缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣。

  3、慢速攻擊:Http協(xié)議中規(guī)定,HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個Http 1.1的連接,將Connection設(shè)置為Keep-Alive,保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n,每隔幾分鐘寫入一些無意義的數(shù)據(jù)流,拖死機器。

  4、P2P攻擊:每當網(wǎng)絡(luò)上出現(xiàn)一個熱門事件,比如XX門,精心制作一個種子,里面包含正確的文件下載,同時也包括攻擊目標服務(wù)器的IP。這樣,當很多人下載的時候, 會無意中發(fā)起對目標服務(wù)器的TCP連接。

  DDoS攻擊防御方法

  1、過濾不必要的服務(wù)和端口:可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口,即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較,并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

  2、異常流量的清洗過濾:通過DDOS硬件防火墻對異常流量的清洗過濾,通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準確判斷外來訪問流量是否正常,進一步將異常流量禁止過濾。單臺負載每秒可防御800-927萬個syn攻擊包。

  3、分布式集群防御:這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點是在每個節(jié)點服務(wù)器配置多個IP地址(負載均衡),并且每個節(jié)點能承受不低于10G的DDOS攻擊,如一個節(jié)點受攻擊無法提供服務(wù),系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動切換另一個節(jié)點,并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點,使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護角度去影響企業(yè)的安全執(zhí)行決策。

  4、高防智能DNS解析:高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合,為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個域名對應(yīng)一個鏡像的做法,智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時智能DNS解析系統(tǒng)還有宕機檢測功能,隨時可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP,為企業(yè)的網(wǎng)絡(luò)保持一個永不宕機的服務(wù)狀態(tài)。

  5、利用Session做訪問計數(shù)器:利用Session針對每個IP做頁面訪問計數(shù)器或文件下載計數(shù)器,防止用戶對某個頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個文件而產(chǎn)生大額流量。(文件下載不要直接使用下載地址,才能在服務(wù)端代碼中做CC攻擊的過濾處理)

  6、把網(wǎng)站做成靜態(tài)頁面:大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給駭客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務(wù)器。

  7、增強操作系統(tǒng)的TCP/IP棧

  Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個,具體怎么開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》。也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。

  8、服務(wù)器前端加CDN中轉(zhuǎn)(免費的有百度云加速、360網(wǎng)站衛(wèi)士、加速樂、安全寶等),如果資金充裕的話,可以購買高防的盾機,用于隱藏服務(wù)器真實IP,域名解析使用CDN的IP,所有解析的子域名都使用CDN的IP地址。此外,服務(wù)器上部署的其他域名也不能使用真實IP解析,全部都使用CDN來解析。


相關(guān)案例
更多案例>
ARE YOU
INTERESTED
IN?
感興趣嗎?

網(wǎng)站建設(shè)及推廣咨詢電話

028-85756675
15308030114

成都市天府新區(qū)華府大道1號藍潤置地廣場T3公寓806室

7x24 小時專業(yè)服務(wù)
專業(yè)備案全程跟進
承諾做不到退款
快速建站SEO友好

填寫網(wǎng)站建設(shè)及SEO優(yōu)化排名需求

*請認真填寫需求信息,24小時內(nèi)與您取得聯(lián)系。
在線咨詢
電話咨詢

立即咨詢

028-85756675
微信咨詢
微信二維碼
QQ咨詢
返回頂部