广告
AD
关于   小悟志   栏目   标签   文章   归档   友链

   云上小悟  +  

当前位置 : 首页 » InfoTech » DDoS攻击的原理和防范 正文

DDoS攻击的原理和防范

InfoTech / by: 麦新杰 / 发布:2016年12月4日 / 16次阅读 / 暂无评论
标签:网站安全   / 最后修改时间: 2016-12-04 11:08:59

InfoTech / 2016年12月4日 / 16次阅读 / 标签:网站安全  

拍拍贷
featured image

这篇关于DDoS的文章通俗易懂,值得学习收藏。

 

先说故事。

你开了一家快餐店。多大的店面,多少员工,心里有数,既不会浪费太多,又要满足客流高峰时段的需求。

DoS攻击

有一天,来了一位客人,张口就要1万份快餐,而你的小店平时每天只卖出几百份。于是店里现存的快餐全被他包揽(其他客人没得买了),后台厨房立马高速运转,还不知道多久能完成几千份的缺口。悲剧的是,这客人最后不要快餐也没给钱就跑了。最后啥生意都没做成。

这就是典型的DoS攻击(Denial of Service)。通过单点(单个人)发起虚假的巨量的需求,把正常的客人都赶跑,把店铺拖垮。

有了这次惨痛教训后,下次再遇到狮子开大口的客人,你要求他先交钱,“要多少我造多少”;或者将他拒之门外;甚至报警。捣乱者的风险大、成本高、容易被识别。

DDoS攻击

又有一天,来了许多许多的人,有老有少,有男有女,里里外外将店挤满了。但是你无法分清楚,哪些人是来买快餐的,哪些是来挤店的。即使你强行规定,1分钟之内不买快餐的人就赶走,也没用,因为还有源源不断的人群涌进来。

最后,真正的顾客没挤进来几个,你的店根本无法正常营业,关门了。这就是DDoS攻击(Distributed Denial of Service,分布式拒绝服务)。

肉鸡

为什么这些与你无冤无仇、而且看起来和顾客完全一样的人来挤店呢?因为他们脑子里被种了病毒,他们收到命令,就马上从世界各个角落汇集过来挤店,但这些人完全不知道中毒,也不清楚自己所做的行为,如同僵尸。中了类似病毒的电脑,就被称为“肉鸡”。有的电脑常年带毒运行,不一定发作,平时都是潜伏,有需要时再控制“肉鸡”参与攻击。

“肉鸡”被谁控制? 可能是当初的病毒传播者,也有可能是购买“肉鸡”的人,或者直接购买攻击服务的人,或者其他人。因为他们躲在幕后遥控,不容易暴露身份,即使抓到几只“肉鸡”严刑拷问,也不一定有什么线索。

图个啥? 敲诈勒索,收保护费,对手攻击,离职员工报仇,显摆一下技术.....一切皆有可能。

攻防

1,清洗:

虽然“肉鸡”和普通顾客长得没啥区别,但有些还是能从神态、衣着上粗略识别。你请了几个保安(软件防火墙、硬件防火墙、路由等)在快餐店把门,冒着被人恶骂歧视的风险,将乞丐模样的都拦下。这方法有时候有点效果,但是成本不低(雇佣保安很贵),对快餐店的服务多少也有影响。

2,硬抗

别人发动了1000个人来挤店,你干脆临时将整条街道包下来变成店面,还从别的店调来大批现成的盒饭。最后,就是比拼攻击者的“肉鸡”多,还是你的带宽、服务器牛。

1999年,中国驻前南斯拉夫大使馆被炸,当时有人号召大家在某天上午同一个时间,一起使用ping命令向美国白宫网站发出请求,企图挤垮白宫网站。曾作为热血青年的俺,也参与了这圣战般的人肉攻击。

结果,很悲催。那年代,学生是上网和参与攻击的主要人群,但是中国教育网到中国电信骨干网,以及中国整个网络到国际互联网的出口,总共也没几兆带宽。这方式,即使大家把自己挤死了,也奈何不了人家。就如,准备到你蛋糕店里来捣乱的“肉鸡”,都要从河南、陕西、山东偏远地区运过来的,结果“肉鸡”都还没出县城,就被截访办拦下了。

3,CDN

现在,你生意做大了,将快餐店做成了肯德基,光北京就有100多家分店。“肉鸡”接到挤店的攻击命令后,不知道去哪家。最后他们选择就近的原则,中关村店去了10个,国贸店去了5个......都是小儿科。即使攻击者改进方式,下达指令里,增加了具体某一家分店的地址,但是也只是单店受到影响,除非“肉鸡”数量庞大到,每个地方都能发起远超过当地店面容量的攻击。

如果自己还是个小店怎么办?有一种叫CDN的服务,全名是内容分发网络(Content Delivery Network),主要是用来做网络加速的,后来发现用来抗DDoS攻击效果很好。原理和上面说的肯德基连锁店类似,加上自己冗余的带宽,将DDoS的“肉鸡”全部抗下来。另外,云服务,也能实现同样的效果。(梁剑 发表于 雪球xueqiu.com )

 

作者:梁剑
链接:https://xueqiu.com/8186325164/21907931
来源:雪球
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

-- (*^-^*) --

本文链接:http://www.maixj.net/ict/ddos-13728
云上小悟 麦新杰(QQ:1093023102)

《DDoS攻击的原理和防范》暂无评论

电子邮件地址不会被公开。 必填项已用*标注


前一篇:
后一篇:

云上小悟独立博客网站文章内容,除非特别注明,全部都是原创(非原创请阅读本站版权声明),如需转载,请保留文章链接!原创文章更具个性,有些文字虽略显随意,但不影响个人思想表达。部分文章是我自己的笔记,为自己记录,总结和收藏,同时也分享给您!这是本博建设的出发点,希望您喜欢并得到您的支持!

©Copyright 麦新杰 Since 2014 云上小悟独立博客版权所有  备案号:苏ICP备14045477号-1  economists.cn的备案号:苏ICP备14045477号-3    联系我们

云上小悟,麦新杰的独立博客