В пятницу я ушел с работы пораньше, играл дома в игры с поеданием цыплят и безумно принимал наркотики В это время моя девушка, которая сидела рядом со мной и смахивала с Доуина, задала мне странный вопрос.
Распределенная атака типа «отказ в обслуживании» (DDoS: Distributed Denial of Service) означает, что злоумышленник использует большое количество «бройлеров» для запуска большого количества обычных или ненормальных запросов к цели атаки, истощая ресурсы целевого хоста или сети, тем самым вызывая атаку хоста.Обычные пользователи не могут быть обслужены.
DoS
Прежде чем представить DDoS, нам нужно кратко представить, что такое DoS.
DoS (отказ в обслуживании) заключается в использовании разумных запросов на обслуживание, чтобы занять слишком много ресурсов обслуживания, чтобы законные пользователи не могли получить ответы на обслуживание. Это была очень простая форма кибератаки в первые дни.
Чтобы привести простой пример, Сяо Ван открыл магазин с небольшой витриной, плюс у Сяо Вана было в общей сложности три официанта. Благодаря их высокому качеству и низкой цене, а также дружелюбному отношению персонала, бизнес становится все лучше и лучше.
Однако в городе, где находится этот магазин, есть хулиган, который видит, что магазин Сяо Вана очень прибыльный, и хочет получить личную выгоду закулисными способами. Итак, он притворился обычным покупателем, а в магазине Сяо Вана был генерал, который не имел никакого отношения к тому, чтобы разговаривать с продавцом, спрашивая, сколько стоит тот, как продать тот, и время от времени предоставляя какую-то ложную информацию. клерк, например, где акции не было на складе.информация, такая как. Так что клерки были обернуты им.
Так как хулиган притворяется обычным покупателем, Сяо Ван и продавцы не могут полностью игнорировать его, поэтому им приходится тратить немного энергии на его обслуживание, а потому количество официантов в магазине ограничено. В результате многие другие клиенты могут быть исключены.
То же самое верно и для веб-сайта, веб-сайт похож на магазин Сяо Вана. Для веб-сайта он должен быть построен на сервере, и из-за ограниченных аппаратных ресурсов его сервисные возможности также ограничены. Если кто-то часто обращается к ресурсам или занимает их в течение длительного времени, опыт других пользователей будет ухудшаться.
Такое поведение, при котором используются разумные запросы на обслуживание, чтобы занять слишком много ресурсов службы, так что законные пользователи не могут получить ответы на обслуживание, является атакой отказа в обслуживании.
В трех элементах информационной безопасности -конфиденциальность,честностьиДоступность, целью DoS является именноДоступность. Этот метод атаки использует дефект функции сетевого обслуживания целевой системы или напрямую потребляет ее системные ресурсы, так что целевая система не может предоставлять нормальные услуги.
DDoS
Если это просто хулиган, просто опознайте его и не пускайте в магазин.
После того, как хулигана обнаружили, он тоже придумал способ, на этот раз вместо того, чтобы бежать в магазин один, он собрал группу жуликов, и жулики эти менялись каждый день, и официанты в магазине их не узнавали. Выходите в конце концов, кого послал хулиган.
Мошенники притворяются обычными покупателями и продолжают толпиться в торговом центре, но настоящие покупатели не могут попасть; Предоставив ложную информацию операторам магазина, верх и низ магазина были заняты, но они обнаружили, что он весь пуст, и наконец, убежали настоящие крупные клиенты и понесли большие убытки. Если мошенник наносит вред, это DoS-атака, а если группа мошенников наносит вред, это DDoS-атака.
Опасности DDoS
Когда сервер атакован DDos, обычно происходят следующие явления:
На атакуемом узле ожидает большое количество TCP-соединений;
Сеть наводнена большим количеством бесполезных пакетов;
Хост-жертва не может нормально общаться с внешним миром;
Хост-жертва не может обработать все обычные запросы, в тяжелых случаях происходит сбой системы.
Для пользователей обычным явлением является то, что веб-сайт недоступен.
Предотвращение DDoS-атак
Для борьбы с DDoS-атакой необходимо иметь четкое представление о том, что происходит, когда происходит атака. Проще говоря, DDoS-атаки могут достигать своих целей, используя уязвимости на сервере или потребляя ресурсы на сервере (такие как память, жесткий диск и т. д.).
В целом, для профилактики можно использовать следующие меры:
1. Если источник атаки может быть идентифицирован, например, IP-адрес машины и т. д., на сервер брандмауэра можно поместить ACL (список контроля доступа), чтобы заблокировать доступ с этих IP-адресов.
2. Для атак с потреблением пропускной способности наиболее эффективным способом является увеличение пропускной способности.
3. Улучшите сервисные возможности сервера, улучшите балансировку нагрузки и разверните в нескольких местах.
4. Оптимизировать использование ресурсов для повышения нагрузочной способности веб-сервера. Например, с помощью apache вы можете установить подключаемый модуль apachebooster, который интегрируется с лаком и nginx и может справляться с внезапным использованием трафика и памяти.
5. Используйте масштабируемое DNS-устройство для защиты от DDOS-атак на DNS. Подумайте о приобретении коммерческого решения Cloudfair, которое обеспечивает защиту от DDOS-атак на уровнях DNS или TCP/IP с 3 по 7.
6. Включите функцию защиты от спуфинга IP маршрутизатора или брандмауэра.
7. Платите за использование стороннего сервиса для защиты вашего сайта.
8. Мониторинг сети и веб-трафика. Постоянно отслеживайте изменения трафика
9. Защитите DNS, чтобы избежать атак с усилением DNS.
Для сетевых атак нет способа полностью предотвратить и избежать их, и мы можем только сделать все возможное, чтобы постоянно увеличивать стоимость хакерских атак.
Ссылка: https://www.oschina.net/translate/15-ways-to-stop-ddos-attacks-in-network