中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > 資訊動態(tài) > IT知識庫 >

DDoS攻擊原理和防范

2020-02-15 21:08 作者：艾銻無限瀏覽量：

迎戰(zhàn)疫情,艾銻無限用愛與您同行

為中國中小企業(yè)提供免費IT外包服務(wù)

這次的肺炎疫情對中國的中小企業(yè)將會是沉重的打擊，據(jù)釘釘和微信兩個辦公平臺數(shù)據(jù)統(tǒng)計現(xiàn)有2億左右的人在家遠程辦公，那么對于中小企業(yè)的員工來說不懂IT技術(shù)將會讓他們面臨的最大挑戰(zhàn)和困難。

電腦不亮了怎么辦？系統(tǒng)藍屏如何處理？辦公室的電腦在家如何連接？網(wǎng)絡(luò)應(yīng)該如何設(shè)置？VPN如何搭建？數(shù)據(jù)如何對接？服務(wù)器如何登錄？數(shù)據(jù)安全如何保證？數(shù)據(jù)如何存儲？視頻會議如何搭建？業(yè)務(wù)系統(tǒng)如何開啟等等一系列的問題，都會困擾著并非技術(shù)出身的您。

好消息是當(dāng)您看到這篇文章的時候，就不用再為上述的問題而苦惱，您只需撥打艾銻無限的全國免費熱線電話:400 650 7820，就會有我們的遠程工程師為您解決遇到的問題，他們可以遠程幫您處理遇到的一些IT技術(shù)難題。

如遇到免費熱線占線，您還可以撥打我們的24小時值班經(jīng)理電話:15601064618或技術(shù)經(jīng)理的電話:13041036957，我們會在第一時間接聽您的來電，為您提供適合的解決方案，讓您無論在家還是在企業(yè)都能無憂辦公。

那艾銻無限具體能為您的企業(yè)提供哪些服務(wù)呢？

艾銻無限始創(chuàng)于2005年，歷經(jīng)15年服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺設(shè)備的正常運轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決經(jīng)驗，制定了相對應(yīng)的解決方案。我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:

第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運維，辦公設(shè)備運維，網(wǎng)絡(luò)設(shè)備運維，服務(wù)器運維等綜合性企業(yè)IT設(shè)備運維服務(wù)。

第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運維外包服務(wù)。

第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運維外包服務(wù)。

您要了解更多服務(wù)也可以登錄艾銻無限的官網(wǎng):www.bjitwx.com查看詳細(xì)說明，在疫情期間，您企業(yè)遇到的任何困境只要找到艾銻無限，能免費為您提供服務(wù)的我們絕不收一分錢，我們?nèi)w艾銻人承諾此活動直到中國疫情結(jié)束,我們將這次活動稱為——春雷行動。

以下還有我們?yōu)槟峁┑囊恍┘夹g(shù)資訊，以便可以幫助您更好的了解相關(guān)的IT知識，幫您渡過疫情中辦公遇到的困難和挑戰(zhàn)，艾銻無限愿和中國中小企業(yè)一起共進退，因為我們相信萬物同體，能量合一，只要我們一起齊心協(xié)力，一定會成功。再一次祝福您和您的企業(yè)，戰(zhàn)勝疫情，您和您的企業(yè)一定行。

北京艾銻無限告訴您：DDoS攻擊原理和防范

分布式拒絕服務(wù)（DDoS）攻擊是一種惡意企圖，通過大量互聯(lián)網(wǎng)流量壓倒目標(biāo)或其周圍的基礎(chǔ)架構(gòu)來破壞目標(biāo)服務(wù)器，服務(wù)或網(wǎng)絡(luò)的正常流量。DDoS攻擊通過利用多個受損計算機系統(tǒng)作為攻擊流量來源來實現(xiàn)有效性。被利用的機器可以包括計算機和其他網(wǎng)絡(luò)資源，例如物聯(lián)網(wǎng)設(shè)備。從高層次來看，DDoS攻擊就像堵塞高速公路的交通堵塞，阻止了常規(guī)交通到達其所需的目的地。

DDoS攻擊如何工作？
DDoS攻擊需要攻擊者控制在線計算機網(wǎng)絡(luò)才能進行攻擊。計算機和其他計算機（如物聯(lián)網(wǎng)設(shè)備）感染了惡意軟件，將每個計算機轉(zhuǎn)變?yōu)闄C器人（或僵尸）。然后，攻擊者可以遠程控制僵尸程序組，這稱為僵尸網(wǎng)絡(luò)。

一旦僵尸網(wǎng)絡(luò)建立，攻擊者就可以通過遠程控制方法向每個機器人發(fā)送更新的指令來指導(dǎo)機器。當(dāng)受害者的IP地址被僵尸網(wǎng)絡(luò)作為目標(biāo)時，每個僵尸程序?qū)⑼ㄟ^向目標(biāo)發(fā)送請求來響應(yīng)，可能導(dǎo)致目標(biāo)服務(wù)器或網(wǎng)絡(luò)溢出容量，從而導(dǎo)致對正常流量的拒絕服務(wù)。由于每個機器人都是合法的Internet設(shè)備，因此將攻擊流量與正常流量分開可能很困難。
什么是常見類型的DDoS攻擊？

不同的DDoS攻擊向量針對網(wǎng)絡(luò)連接的不同組件。為了理解不同的DDoS攻擊是如何工作的，有必要知道如何建立網(wǎng)絡(luò)連接。因特網(wǎng)上的網(wǎng)絡(luò)連接由許多不同的組件或“層”組成。就像從頭開始建造房屋一樣，模型中的每一步都有不同的目的。該OSI模型，如下所示，是用來描述在7不同的層的網(wǎng)絡(luò)連接的概念框架

雖然幾乎所有DDoS攻擊都涉及壓倒目標(biāo)設(shè)備或網(wǎng)絡(luò)流量，但攻擊可分為三類。攻擊者可以使用一個或多個不同的攻擊向量，或者可能基于目標(biāo)采取的反制措施來循環(huán)攻擊向量。
應(yīng)用層攻擊

攻擊的目標(biāo)：
有時被稱為第7層DDoS攻擊（參考OSI模型的第7層），這些攻擊的目標(biāo)是耗盡目標(biāo)的資源。攻擊的目標(biāo)是在服務(wù)器上生成網(wǎng)頁并響應(yīng)HTTP請求而傳遞的層。單個HTTP請求在客戶端執(zhí)行起來很便宜，并且目標(biāo)服務(wù)器響應(yīng)起來可能很昂貴，因為服務(wù)器通常必須加載多個文件并運行數(shù)據(jù)庫查詢才能創(chuàng)建網(wǎng)頁。第7層攻擊難以防御，因為流量很難被標(biāo)記為惡意攻擊。
應(yīng)用層攻擊示例：HTTP Flood

此攻擊類似于同時在多個不同計算機上反復(fù)按Web瀏覽器中的刷新 - 大量HTTP請求泛濫服務(wù)器，導(dǎo)致拒絕服務(wù)。
這種類型的攻擊范圍從簡單到復(fù)雜。更簡單的實現(xiàn)可以訪問具有相同范圍的攻擊IP地址，引用者和用戶代理的一個URL。復(fù)雜版本可能使用大量攻擊性IP地址，并使用隨機引用和用戶代理來定位隨機URL。
協(xié)議攻擊

攻擊的目標(biāo)：
協(xié)議攻擊（也稱為狀態(tài)耗盡攻擊）通過消耗Web應(yīng)用程序服務(wù)器或防火墻和負(fù)載平衡器等中間資源的所有可用狀態(tài)表容量來導(dǎo)致服務(wù)中斷。協(xié)議攻擊利用協(xié)議棧的第3層和第4層中的弱點來使目標(biāo)不可訪問。
協(xié)議攻擊示例：

SYN Flood
SYN Flood類似于接收來自商店前面的請求的供應(yīng)室中的工作人員。工作人員收到請求，去取得包裹，并在將包裹拿出前等待確認(rèn)。然后，工作人員在沒有確認(rèn)的情況下獲得更多的包請求，直到他們無法攜帶更多的包，變得不堪重負(fù)，并且請求開始無人接聽。
此攻擊通過向目標(biāo)發(fā)送具有欺騙性源IP地址的大量TCP“初始連接請求”SYN數(shù)據(jù)包來利用TCP握手。目標(biāo)機器響應(yīng)每個連接請求，然后等待握手中的最后一步，這一步從未發(fā)生過，耗盡了進程中的目標(biāo)資源。
容量攻擊

攻擊的目標(biāo)：
此類攻擊試圖通過消耗目標(biāo)與較大Internet之間的所有可用帶寬來創(chuàng)建擁塞。通過使用放大形式或其他創(chuàng)建大量流量的方式（例如來自僵尸網(wǎng)絡(luò)的請求）將大量數(shù)據(jù)發(fā)送到目標(biāo)。
擴增示例：

DNS放大
一個DNS放大就像如果有人打電話給餐廳和說：“我所擁有的一切的一個，請給我打電話，告訴我，我的整個秩序，”他們給回調(diào)的電話號碼是目標(biāo)的數(shù)量。只需很少的努力，就會產(chǎn)生很長的響應(yīng)。
通過向具有欺騙IP地址（目標(biāo)的真實IP地址）的開放DNS服務(wù)器發(fā)出請求，目標(biāo)IP地址然后從服務(wù)器接收響應(yīng)。攻擊者構(gòu)造請求，以便DNS服務(wù)器以大量數(shù)據(jù)響應(yīng)目標(biāo)。結(jié)果，目標(biāo)接收到攻擊者初始查詢的放大。

減輕DDoS攻擊的過程是什么？
減輕DDoS攻擊的關(guān)鍵問題是區(qū)分攻擊和正常流量。例如，如果產(chǎn)品發(fā)布的公司網(wǎng)站被熱切的客戶所淹沒，那么切斷所有流量是錯誤的。如果該公司突然出現(xiàn)來自已知不良行為者的流量激增，則可能需要努力減輕攻擊。困難在于它將真實客戶和攻擊流量區(qū)分開來。

在現(xiàn)代互聯(lián)網(wǎng)中，DDoS流量有多種形式。設(shè)計的流量可以從未欺騙的單一來源攻擊到復(fù)雜的自適應(yīng)多向量攻擊。多向量DDoS攻擊使用多個攻擊路徑以不同方式壓倒目標(biāo)，可能會分散任何一條軌跡上的緩解措施。同時針對協(xié)議棧的多個層的攻擊，例如與HTTP泛洪（目標(biāo)層7）耦合的DNS放大（目標(biāo)層3/4）是多向量DDoS的示例。
減輕多向量DDoS攻擊需要各種策略以對抗不同的軌跡。一般來說，攻擊越復(fù)雜，流量越難以與正常流量分離 - 攻擊者的目標(biāo)是盡可能地混合，使緩解盡可能低效。涉及不加選擇地丟棄或限制流量的緩解嘗試可能會帶來良好的流量，并且攻擊也可以修改和適應(yīng)以規(guī)避對策。為了克服復(fù)雜的破壞嘗試，分層解決方案將帶來最大的好處。
黑洞布線

幾乎所有網(wǎng)絡(luò)管理員都可以使用的一種解決方案是創(chuàng)建黑洞路由并將流量匯集到該路由中。在最簡單的形式中，當(dāng)在沒有特定限制標(biāo)準(zhǔn)的情況下實施黑洞過濾時，合法和惡意網(wǎng)絡(luò)流量都被路由到空路由或黑洞并從網(wǎng)絡(luò)中丟棄。如果Internet屬性遇到DDoS攻擊，則該屬性的Internet服務(wù)提供商（ISP）可能會將所有站點的流量發(fā)送到黑洞作為防御。
限速

限制服務(wù)器在特定時間窗口內(nèi)接受的請求數(shù)量也是減輕拒絕服務(wù)攻擊的一種方法。雖然速率限制有助于減緩網(wǎng)絡(luò)抓取工具竊取內(nèi)容和減少強力登錄嘗試，但僅憑它可能不足以有效地處理復(fù)雜的DDoS攻擊。然而，速率限制是有效DDoS緩解策略中的有用組件。了解Cloudflare的速率限制
Web應(yīng)用防火墻

甲Web應(yīng)用防火墻（WAF）是一種工具，可以有助于減輕層7 DDoS攻擊。通過在Internet和源服務(wù)器之間放置WAF，WAF可以充當(dāng)反向代理，保護目標(biāo)服務(wù)器免受某些類型的惡意流量的影響。通過基于用于識別DDoS工具的一系列規(guī)則過濾請求，可以阻止第7層攻擊。有效WAF的一個關(guān)鍵值是能夠快速實施自定義規(guī)則以響應(yīng)攻擊。了解Cloudflare的WAF
任播網(wǎng)絡(luò)擴散

此緩解方法使用Anycast網(wǎng)絡(luò)將攻擊流量分散到分布式服務(wù)器網(wǎng)絡(luò)中，直至網(wǎng)絡(luò)吸收流量。就像將湍急的河流引入不同的較小通道一樣，這種方法可以將分布式攻擊流量的影響擴展到可管理的程度，從而擴散任何破壞性功能。

Anycast網(wǎng)絡(luò)緩解DDoS攻擊的可靠性取決于攻擊的大小以及網(wǎng)絡(luò)的規(guī)模和效率。Cloudflare實施的DDoS緩解的一個重要部分是使用Anycast分布式網(wǎng)絡(luò)。Cloudflare具有15 Tbps網(wǎng)絡(luò)，比記錄的最大DDoS攻擊大一個數(shù)量級。

如果您目前處于攻擊狀態(tài)，可以采取措施擺脫壓力。如果您已經(jīng)使用Cloudflare，則可以按照以下步驟緩解攻擊。我們在Cloudflare實施的DDoS保護是多方面的，以減輕許多可能的攻擊媒介。