分布式拒绝服务是种基于DoS的特殊形式的拒绝服务攻击,是一种分布、 协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎或政府部门门的站点。DoS攻击只要一台单机和一个Modem就可实现;而DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
绝大部分的DDoS攻击是通过僵尸网络产生的。僵尸网络主要由受到僵尸程序感染的计算机及其他机器组成。当确定受害者的IP 地址或域名后,僵尸网络控制者发送攻击指令,随后就可以使网络断开连接,指令在僵尸程序间自行传播和执行,每台僵尸主机都将做出响应,同时向目标主机发送请求,可能导致目标主机或网络出现溢出,从而拒绝服务。
消耗网络带宽资源:ICMP Flood UDP Flood
消耗系统资源:TCP Flood SYN Flood
消耗应用资源:CC攻击(HTTP Flood)
如何判断遭受到DDos攻击:
DDos事件发生的时间
对可记录流量信息的设备进行排查,确定攻击时间,以便后续依据此时间进行溯源分析,并对攻击者行为、攻击方法进行记录。
了解系统架构
通过了解现场实际环境网络拓扑、业务架构及服务器类型、带宽大小等关键信息,可帮助安全运营人员、应急响应工程师确认事件影响的范围及存在的隐患。
了解影响范围
结合系统架构情况,确认在DDoS攻击中受到影响的服务和带宽信息,以便后续排查并采取相应措施缓解。
溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的日志信息进行的。将排查过程中整理出的IP地址进行梳理、归类,方便日后溯源。但是在DDoS攻击中,攻击者一般会使用僵尸网络,因此为溯源带来很大难度。建议在遭受DDoS攻击时及时报案,并保留相关日志、攻击记录等。
服务器防护
网络防护与安全监测
应用系统防护
对应用代码做好性能优化。