DDOS攻擊已經(jīng)成為站長們皆知一種網(wǎng)絡攻擊方式?，F(xiàn)在隨著網(wǎng)絡的發(fā)展，網(wǎng)絡攻擊越來越多，而且，針對DDOS攻擊的防御部署工作也是討論的熱點話題。畢竟隨著互聯(lián)網(wǎng)絡帶寬的增多和多種攻擊黑客工具的不斷發(fā)布，使其DDOS攻擊越來越不受控制。

那么DDOS是怎么攻擊計算機或網(wǎng)絡的？DDOS攻擊可使計算機或網(wǎng)絡無法提供正常的服務，DDOS是DOS攻擊中的一種方法。將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDOS攻擊，從而成倍地提高拒絕服務攻擊的威力。

實際上，DOS的攻擊方式有很多種，接下來介紹幾種比較常見的攻擊途徑：

1、 IP欺騙DOS攻擊

這種攻擊利用RST位來實現(xiàn)。假設現(xiàn)在有一個合法用戶(1.1.1)已經(jīng)同服務器建立了正常連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為1.1.1，并向服務器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務器接收到這樣的數(shù)據(jù)后，認為從1.1.1發(fā)送的連接有錯誤，就會清空緩沖區(qū)中建立好的連接。

這時，如果合法用戶1.1.1再發(fā)送合法數(shù)據(jù)，服務器就已經(jīng)沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，使服務器不對合法用戶服務。

2、 帶寬DOS攻擊

如果連接帶寬足夠大而服務器又不是很大，可以發(fā)送請求來消耗服務器的緩沖區(qū)，消耗服務器的帶寬。這種攻擊就是人多力量大，配合上SYN一起實施DOS，威力巨大，不過是初級DOS攻擊。

3、 自身消耗的DOS攻擊

一種老式的攻擊手法，因為老式的系統(tǒng)有這樣的自身bug。這種DOS攻擊就是把請求客戶端IP和端口弄成主機的IP端口相同，發(fā)送給主機。使得主機給自己發(fā)送TCP請求和連接。這種主機的漏洞會很快把資源消耗光。直接導致宕機。這偽裝對一些身份認證系統(tǒng)還是威脅巨大的。

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的，以下幾點是防御DDOS攻擊幾點：

1、 采用高性能的網(wǎng)絡設備

2、 首先要保證網(wǎng)絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡提供商有特殊關(guān)系或協(xié)議的話就更好了，當大量攻擊發(fā)生的時候請他們在網(wǎng)絡接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

3、 無論是路由器還是硬件防護墻設備要盡量避免采用網(wǎng)絡地址轉(zhuǎn)換NAT的使用，因為采用此技術(shù)會較大降低網(wǎng)絡通信能力，其實原因很簡單，因為NAT需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。

4、 充足的網(wǎng)絡帶寬保證

網(wǎng)絡帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主干上了。但需要注意的是，主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因為網(wǎng)絡服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。

5、 升級主機服務器硬件

在有網(wǎng)絡帶寬保證的前提下，請盡量提升硬件配置，要有效對抗每秒10萬個SYN攻擊包，服務器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是CPU和內(nèi)存，若有志強雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

6、 把網(wǎng)站做成靜態(tài)頁面

大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務器，當然，適當放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。

7、 安裝專業(yè)抗DDOS防火墻 ，列如現(xiàn)在比較方便的云防御。

最安全最省心的辦法是通過使用第三方專業(yè)抗CC攻擊的防火墻進行防范。

分享題目：DDOS攻擊網(wǎng)站原理，遭受攻擊該如何進行防御？
URL地址：http://aaarwkj.com/hangye/fwqzy/n8387.html

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)