关于   小悟志   网站地图   归档   友情链接   联系   Feed

   云上小悟  +  

当前位置 : 首页 » InfoTech » DDoS攻击的原理和防范 正文

DDoS攻击的原理和防范

2016年12月4日 / 28次阅读  InfoTech
标签:网站安全

拍拍贷

文章《DDoS攻击的原理和防范》的特色图片

这篇关于DDoS的文章通俗易懂,值得学习收藏。

 

先说故事。

你开了一家快餐店。多大的店面,多少员工,心里有数,既不会浪费太多,又要满足客流高峰时段的需求。

DoS攻击

有一天,来了一位客人,张口就要1万份快餐,而你的小店平时每天只卖出几百份。于是店里现存的快餐全被他包揽(其他客人没得买了),后台厨房立马高速运转,还不知道多久能完成几千份的缺口。悲剧的是,这客人最后不要快餐也没给钱就跑了。最后啥生意都没做成。

这就是典型的DoS攻击(Denial of Service)。通过单点(单个人)发起虚假的巨量的需求,把正常的客人都赶跑,把店铺拖垮。

有了这次惨痛教训后,下次再遇到狮子开大口的客人,你要求他先交钱,“要多少我造多少”;或者将他拒之门外;甚至报警。捣乱者的风险大、成本高、容易被识别。

DDoS攻击

又有一天,来了许多许多的人,有老有少,有男有女,里里外外将店挤满了。但是你无法分清楚,哪些人是来买快餐的,哪些是来挤店的。即使你强行规定,1分钟之内不买快餐的人就赶走,也没用,因为还有源源不断的人群涌进来。

最后,真正的顾客没挤进来几个,你的店根本无法正常营业,关门了。这就是DDoS攻击(Distributed Denial of Service,分布式拒绝服务)。

肉鸡

为什么这些与你无冤无仇、而且看起来和顾客完全一样的人来挤店呢?因为他们脑子里被种了病毒,他们收到命令,就马上从世界各个角落汇集过来挤店,但这些人完全不知道中毒,也不清楚自己所做的行为,如同僵尸。中了类似病毒的电脑,就被称为“肉鸡”。有的电脑常年带毒运行,不一定发作,平时都是潜伏,有需要时再控制“肉鸡”参与攻击。

“肉鸡”被谁控制? 可能是当初的病毒传播者,也有可能是购买“肉鸡”的人,或者直接购买攻击服务的人,或者其他人。因为他们躲在幕后遥控,不容易暴露身份,即使抓到几只“肉鸡”严刑拷问,也不一定有什么线索。

图个啥? 敲诈勒索,收保护费,对手攻击,离职员工报仇,显摆一下技术.....一切皆有可能。

攻防

1,清洗:

虽然“肉鸡”和普通顾客长得没啥区别,但有些还是能从神态、衣着上粗略识别。你请了几个保安(软件防火墙、硬件防火墙、路由等)在快餐店把门,冒着被人恶骂歧视的风险,将乞丐模样的都拦下。这方法有时候有点效果,但是成本不低(雇佣保安很贵),对快餐店的服务多少也有影响。

2,硬抗

别人发动了1000个人来挤店,你干脆临时将整条街道包下来变成店面,还从别的店调来大批现成的盒饭。最后,就是比拼攻击者的“肉鸡”多,还是你的带宽、服务器牛。

1999年,中国驻前南斯拉夫大使馆被炸,当时有人号召大家在某天上午同一个时间,一起使用ping命令向美国白宫网站发出请求,企图挤垮白宫网站。曾作为热血青年的俺,也参与了这圣战般的人肉攻击。

结果,很悲催。那年代,学生是上网和参与攻击的主要人群,但是中国教育网到中国电信骨干网,以及中国整个网络到国际互联网的出口,总共也没几兆带宽。这方式,即使大家把自己挤死了,也奈何不了人家。就如,准备到你蛋糕店里来捣乱的“肉鸡”,都要从河南、陕西、山东偏远地区运过来的,结果“肉鸡”都还没出县城,就被截访办拦下了。

3,CDN

现在,你生意做大了,将快餐店做成了肯德基,光北京就有100多家分店。“肉鸡”接到挤店的攻击命令后,不知道去哪家。最后他们选择就近的原则,中关村店去了10个,国贸店去了5个......都是小儿科。即使攻击者改进方式,下达指令里,增加了具体某一家分店的地址,但是也只是单店受到影响,除非“肉鸡”数量庞大到,每个地方都能发起远超过当地店面容量的攻击。

如果自己还是个小店怎么办?有一种叫CDN的服务,全名是内容分发网络(Content Delivery Network),主要是用来做网络加速的,后来发现用来抗DDoS攻击效果很好。原理和上面说的肯德基连锁店类似,加上自己冗余的带宽,将DDoS的“肉鸡”全部抗下来。另外,云服务,也能实现同样的效果。(梁剑 发表于 雪球xueqiu.com )

 

作者:梁剑

链接:https://xueqiu.com/8186325164/21907931

本文链接:http://www.maixj.net/ict/ddos-13728
云上小悟 麦新杰(QQ:1093023102)

-- (*^-^*) --

相关文章

评论是美德

《DDoS攻击的原理和防范》有2条评论

无力满足评论实名制,评论对非实名注册用户关闭,有事QQ:1093023102.

  • 麦新杰  said:

    DDoS攻击这个概念的范围比CC要大,CC只是针对Web服务器而言。DDoS除了攻击计算机,还攻击路由器等网络中间设备。   [ ]

  • 麦新杰  said:

    DoS攻击是单点,现在谁还单点,马上查ip派人上门。DDoS是分布式的,多点,幕后人物是谁就很难判断。   [ ]


前一篇:
后一篇:

栏目精选


©Copyright 麦新杰 Since 2014 云上小悟独立博客版权所有 备案号苏ICP备14045477号-1

网站二维码
拍拍贷
go to top