DDOS攻击:
(Distributed Denial of Service),简称DDoS。这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击,如UDP flood, SYN flood等。
DDOS攻击利用了TCP/IP协议的固有漏洞,利用TCP连接的三次握手让服务器端建立半连接,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,严重时会致使宕机。
DDOS攻击者是不会在本机上发起这种攻击的,而是在网上找大量的傀儡机放置木马后,统一进行!而通常我们发现这些地址也是被伪造的。这就是导致DDoS攻击难以追查的原因之一了!
被DDoS攻击时的现象:
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机
DDOS攻击的查询:
在被攻击主机上积累了多少Syn的半连接呢?我们可用netstat来看一下:
# netstat -an | grep SYN
不过DDOS攻击可以几十秒的时间里建立上千个SYN的半连接,导致服务器不能提供正常的响应请求。
DDoS的防范 :
到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?
目前的四种防范技术:
1、检测非法源IP地址,如为每个连接建立一个cooksIE;
2、在防火墙或路由器上封堵非法IP地址;
3、在系统注册表中加一些网络设置参数;
4、加入一些安全产品帮助分析,建立多台服务器进行负载,配置更高的性能等;
[ 本帖最后由 jiesen 于 2006-6-3 21:43 编辑 ] |
发表于 2006-6-2 11:35:01
发表于 2006-6-5 09:45:13