@Niki
2年前 提问
1个回答

DDoS 攻击中有哪些误区

一颗小胡椒
2年前

针对DDOS攻击的误区有以下这些:

  • DDOS攻击都来自PC组成的僵尸网络:随着技术的进步,服务提供商所使用的高性能服务器在处理性能和带宽方面快速提升,而传统的由PC组成的僵尸网络却发展缓慢。除了处理能力方面的因素外,PC通常只有非常有限的带宽资源,而可供利用的时间也很不确定。

  • DDOS攻击都是消耗网络带宽资源的攻击:事实上,除了网络带宽资源,DDOS攻击还有消耗系统资源和应用资源的攻击方法,而攻击流量的大小只是决定攻击危害程度的一个方面。对于相同种类的攻击,通常攻击流量越大,其危害也越大,而如果在相同攻击流量的情况下,不同的攻击方法造成的危害和影响则不尽相同。

  • DDOS攻击都是洪水攻击:洪水攻击确实占据了DDOS攻击方法中相当大的比例,但并不是所有的DDOS攻击都是洪水攻击。除了洪水攻击外,还有一些被称为慢速攻击(Low and Slow Attack)的攻击方法。DDOS攻击的精髓是:“消耗和长期占用大量资源,从而达到拒绝服务的目的”,洪水攻击就是通过快速发送大量数据和请求,达到迅速消耗大量资源的目的,而慢速攻击则有所不同,它会缓慢而坚定地发送请求并长期占用,一点一滴地蚕食目标的资源。

  • 普通人不会遭遇DDOS攻击:网络犯罪团伙会为了利益进行敲诈,攻击名气大的站点的确可能获得更高收益,但成本和风险同时也会增加;而规模较小的网站防护能力薄弱,更容易得手。竞争也是DDOS的重要原因之一,新进者可能攻击领先者以抢夺用户,而领先者也可能攻击新进者来消除隐患。至于恶意的报复攻击性,则完全不会考虑规模之类的因素。

  • 只有黑客才能发起DDOS:网络攻击同样如此。当前大部分黑客都专注于特定领域,有的擅长发现漏洞,有的善于开发工具,由的负责入侵过程,有的专门处理账户信息。就DDOS攻击来说,一些黑客会建立和维护所谓的“攻击网络”。他们有的利用僵尸网络,有的控制高性能服务器,形成攻击能力后对外提供租用服务。而最终的租用者很可能只是不具备任何专业知识的普通人。这些服务使用方便,只要输入攻击目标的地址就可以完成整个攻击过程。发起DDOS攻击的可能是本地的网络黑帮,可能是对街的竞争对手,可能是上周被开除的员工,甚至可能是某个老朋友有些过火的玩笑。潜在的攻击者并不遥远,他们也许就在你的身边。

  • DDOS攻击的目的就是单纯破坏:毋庸置疑,DDOS攻击的直接后果是破坏服务的可能性,简直是这一看法的完美证据。可实际上,这些隐藏在面具后的是一双双能够计算比特币的眼睛。当今时代的攻击者,对计算收益的敏感性远超常人。他们会用破坏的威力换取对等的利润,会用破坏的威慑避免自身可能受到的损失,会用破坏的杠杆撬起胜负的天平。更有时候,只需提示一下破坏的可能性,他们就可以坐地收银。

  • 防火墙和入侵检测/防御系统能够缓解DDOS攻击:防火墙是最常用的安全产品,但是防火墙的设计原理中并没有考虑针对DDOS攻击的缓解。传统的防火墙是以高强度的检查作为代价来进行防护的,检查的强度越高,计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。同时,传统防火墙一般都部署在网络入口位置,虽然这是某种意义上保护了网络内部的所有资源,但是往往也成为DDOS攻击的目标。

  • 系统优化和增加带宽能够有效缓解DDOS攻击:增加带宽实际上属于一种退让策略,这种退让策略还包括购买冗余硬件、增添性能更好的服务器等。只要攻击者的DDOS攻击造成资源消耗不高于目前的带宽、计算等资源的承载能力,那么攻击就是无效的;而一旦DDOS攻击的资源消耗超出了目前的承载能力,则通过再次退让来使其无效化。增加带宽等退让策略从理论上讲的确能够完全解决DDOS攻击的问题,然而在实际上这种方式并不符合经济规律。

预防DDOS攻击的方法有以下这些:

  • 充分利用网络设备保护网络资源,如路由器、防火墙等负载设备,进行配置使用都可以有效地保护网络。

  • 定期扫描网络的节点,清查服务器存在的漏洞,及时进行更新和修复。

  • 过滤服务器上非必要的服务和端口,在路由器上过滤假IP。使用反向路由器检查访问者的IP地址是否真实。单播反向路经转发是判断IP的方法,可以直接把虚假IP屏蔽掉。

  • 配置SYN/ICMP做最大流量限制进行过滤,因为一般出现这样的流量即为非正常的流量,即说明有不正常的网络访问,而正常的流量是不会使用超过这么大的流量包进行数据传输。

  • DDos流量清洗:流量清洗是用于准确识别网络中的异常流量,丢弃其中的异常流量,保证正常流量通行的网络安全设备。流量清洗的主要对象DDOS攻击。