激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>
  • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        始創(chuàng)于2000年 股票代碼:831685
        咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補(bǔ)償
        全部產(chǎn)品
        您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

        DDoS拒絕服務(wù)攻擊和安全防范技術(shù)

        發(fā)布時(shí)間:  2012/9/12 15:08:05

        一、DDoS拒絕服務(wù)攻擊簡(jiǎn)介

        “拒絕服務(wù)(Denial-Of-Service)攻擊就是消耗目標(biāo)主機(jī)或者網(wǎng)絡(luò)的資源,從而干擾或者癱瘓其為合法用戶提供的服務(wù)。”國(guó)際權(quán)威機(jī)構(gòu)“Security FAQ”給出的定義。

        DDOS則是利用多臺(tái)計(jì)算機(jī)機(jī),采用了分布式對(duì)單個(gè)或者多個(gè)目標(biāo)同時(shí)發(fā)起DoS攻擊。其特點(diǎn)是:目標(biāo)是“癱瘓敵人”,而不是傳統(tǒng)的破壞和竊密;利用國(guó)際互聯(lián)網(wǎng)遍布全球的計(jì)算機(jī)發(fā)起攻擊,難于追蹤。

        目前DDoS攻擊方式已經(jīng)發(fā)展成為一個(gè)非常嚴(yán)峻的公共安全問(wèn)題,被稱為“黑客終極武器”。但是不幸的是,目前對(duì)付拒絕服務(wù)攻擊的技術(shù)卻沒(méi)有以相同的速度發(fā)展,TCP/IP互聯(lián)網(wǎng)協(xié)議的缺陷和無(wú)國(guó)界性,導(dǎo)致目前的國(guó)家機(jī)制和法律都很難追查和懲罰DDoS攻擊者。DDoS攻擊也逐漸與蠕蟲(chóng)、 Botnet相結(jié)合,發(fā)展成為自動(dòng)化播、集中受控、分布式攻擊的網(wǎng)絡(luò)訛詐工具。據(jù)方正信息安全技術(shù)有限公司的有關(guān)專家介紹,DOS從防御到追蹤,已經(jīng)有了非常多的辦法和理論。比如SynCookie,HIP(History-based IP filtering)、ACC控制等,另外在追蹤方面也提出許多理論方法,比如IP Traceback、ICMP Traceback、Hash-Based IP traceback、Marking等。但目前這些技術(shù)僅能起到緩解攻擊、保護(hù)主機(jī)的作用,要徹底杜絕DDoS攻擊將是一個(gè)浩大的工程技術(shù)問(wèn)題。

        二、攻擊原理

        目前DDoS攻擊主要分為兩類:帶寬耗盡型和資源耗盡型。

        帶寬耗盡型主要是堵塞目標(biāo)網(wǎng)絡(luò)的出口,導(dǎo)致帶寬消耗不能提供正常的上網(wǎng)服務(wù)。例如常見(jiàn)的Smurf攻擊、UDP Flood攻擊、MStream Flood攻擊等。針對(duì)此類攻擊一般采取的措施就是QoS,在路由器或防火墻上針對(duì)此類數(shù)據(jù)流限制流量,從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識(shí)別,并被丟棄。

        資源耗盡型是攻擊者利用服務(wù)器處理缺陷,消耗目標(biāo)服務(wù)器的關(guān)鍵資源,例如CPU、內(nèi)存等,導(dǎo)致無(wú)法提供正常服務(wù)。例如常見(jiàn)的Syn Flood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統(tǒng)對(duì)正常網(wǎng)絡(luò)協(xié)議處理的缺陷,使系統(tǒng)難于分辨正常流和攻擊流,導(dǎo)致防范難度較大,是目前業(yè)界最關(guān)注的焦點(diǎn)問(wèn)題,例如方正SynGate產(chǎn)品就是專門防范此類的產(chǎn)品。

        針對(duì)DDoS的攻擊原理,對(duì)DDoS攻擊的防范主要分為三層:Source-end攻擊源端防范、Router-based路由器防范、 Target-end目標(biāo)端防范。其中攻擊端防護(hù)技術(shù)有DDoS工具分析和清除、基于攻擊源的防范技術(shù);骨干網(wǎng)防護(hù)技術(shù)有會(huì)推技術(shù)、IP追蹤技術(shù);目標(biāo)端防護(hù)措施有DDoS攻擊探測(cè)、路由器防范、網(wǎng)關(guān)防范、主機(jī)設(shè)置等方法。

        據(jù)方正安全工程師的多次實(shí)踐分析,目標(biāo)端防護(hù)技術(shù)得到最廣泛應(yīng)用。由于目標(biāo)端使被攻擊者,愿意為防護(hù)付出相應(yīng)代價(jià),并且實(shí)施難度也較低。而骨干網(wǎng)防范、攻擊端防范都難于實(shí)施,合作意愿和難度上都有一定程度的問(wèn)題

        三、綜合防范方法綜述

        目前基于目標(biāo)計(jì)算機(jī)系統(tǒng)的防范方法主要三類:網(wǎng)關(guān)防范、路由器防范、主機(jī)防范。

        1.網(wǎng)關(guān)防范

        網(wǎng)關(guān)防范就是利用專門技術(shù)和設(shè)備在網(wǎng)關(guān)上防范DDoS攻擊,例如用透明橋接入網(wǎng)絡(luò)的方正防火墻或方正黑鯊等硬件產(chǎn)品。網(wǎng)關(guān)防范主要采用的技術(shù)有SynCookie方法、基于IP訪問(wèn)記錄的HIP方法、客戶計(jì)算瓶頸方法等。

        SynCookie方法是在建立TCP連接時(shí),要求客戶端響應(yīng)一個(gè)數(shù)字回執(zhí),來(lái)證明自己的真實(shí)性。SynCookie方法解決了目標(biāo)計(jì)算機(jī)系統(tǒng)的半開(kāi)連接隊(duì)列的有限資源問(wèn)題,從而成為目前被最廣泛采用的DDoS防范方法,新的SCTP協(xié)議和DCCP協(xié)議也采用了類似的技術(shù)。SynCookie 方法的局限性在于,對(duì)于建立連接的每一個(gè)握手包,都要回應(yīng)一個(gè)響應(yīng)包,即該方法會(huì)產(chǎn)生1:1的響應(yīng)流,會(huì)將攻擊流倍增,極大的浪費(fèi)帶寬資源;此外,當(dāng)分布式拒絕服務(wù)攻擊的發(fā)起者采用隨機(jī)源地址時(shí),SynCookie方法產(chǎn)生的回應(yīng)流的目標(biāo)地址非常發(fā)散,從而會(huì)導(dǎo)致目標(biāo)計(jì)算機(jī)系統(tǒng)及其周邊的路由設(shè)備的路由緩沖資源被耗盡,從而形成新的被攻擊點(diǎn),在實(shí)際的網(wǎng)絡(luò)對(duì)抗中也產(chǎn)生了真實(shí)的路由雪崩事件。

        HIP方法采用行為統(tǒng)計(jì)方法區(qū)分攻擊包和正常包,對(duì)所有訪問(wèn)IP建立信任級(jí)別。當(dāng)發(fā)生DDoS攻擊時(shí),信任級(jí)別高的IP有優(yōu)先訪問(wèn)權(quán),從而解決了識(shí)別問(wèn)題。

        客戶計(jì)算瓶頸方法則將訪問(wèn)時(shí)的資源瓶頸從服務(wù)器端轉(zhuǎn)移到客戶端,從而大大提升分布式拒絕服務(wù)攻擊的代價(jià),例如資源訪問(wèn)定價(jià)方法。客戶計(jì)算瓶頸方法協(xié)議復(fù)雜,需要對(duì)現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行很大的變動(dòng),這也在很大程度上影響了該方法的可操作性。

        綜上所述,網(wǎng)關(guān)防范DDoS技術(shù)能夠有效緩解攻擊壓力,適合被攻擊者的自身防護(hù)。

        2.路由器防范

        基于骨干路由的防范方法主要有pushback和SIFF方法。但由于骨干路由器一般都有電信運(yùn)營(yíng)商管理,較難按照用戶要求進(jìn)行調(diào)整;另外,由于骨干路由的負(fù)載過(guò)大,其上的認(rèn)證和授權(quán)問(wèn)題難以解決,很難成為有效的獨(dú)立解決方案。因此,基于骨干路由的方法一般都作為輔助性的追蹤方案,配合其他方法進(jìn)行防范。

        基于路由器的ACL和限流是比較有效的防范措施,例如對(duì)特征攻擊包進(jìn)行訪問(wèn)限制,發(fā)現(xiàn)攻擊者IP的包就丟棄;或者對(duì)異常流量進(jìn)行限制等。也可以打開(kāi)Intercept模式,由路由器代替服務(wù)器響應(yīng)Syn包,并代表客戶機(jī)建立與服務(wù)器的連接。類似一種SynProxy技術(shù),當(dāng)兩個(gè)連接都成功實(shí)現(xiàn)后,路由器再將兩個(gè)連接透明合并。應(yīng)用實(shí)例請(qǐng)參見(jiàn)www.icst.pku.edu.cn網(wǎng)站

        四、防范技術(shù)發(fā)展和趨勢(shì)

        DDoS攻擊的發(fā)展非?,為增加攻擊威力,目前已經(jīng)采用了許多新攻擊技術(shù):偽造數(shù)據(jù),消除攻擊包特征;綜合利用協(xié)議缺陷和系統(tǒng)處理缺陷;使用多種攻擊包混合攻擊;采用攻擊包預(yù)產(chǎn)生法,提高攻擊速率。目前已經(jīng)出現(xiàn)的攻擊工具在單點(diǎn)情況下能發(fā)起6-7萬(wàn)個(gè)/秒攻擊包,足以堵塞一個(gè)百兆帶寬的大中型網(wǎng)站。

        DDoS防范技術(shù)主要向攻擊追蹤、網(wǎng)關(guān)防范發(fā)展。利用ICMP數(shù)據(jù)包追蹤、或是Burch 和 Cheswick提出的通過(guò)標(biāo)志數(shù)據(jù)包來(lái)追蹤的方法,都是目前研究的熱點(diǎn)。在骨干網(wǎng)上攻擊追蹤研究的目標(biāo)就是,在攻擊者剛開(kāi)始發(fā)起攻擊時(shí)就能定位攻擊源,從而阻擋攻擊擴(kuò)散和減輕目標(biāo)損失。而網(wǎng)關(guān)DDoS防范技術(shù)將是未來(lái)產(chǎn)品發(fā)展的重點(diǎn),將成為各類網(wǎng)站的DDoS防護(hù)盾牌,目前研究熱點(diǎn)的也是利用行為統(tǒng)計(jì)等方法區(qū)分攻擊包,例如方正黑鯊采用的CIP技術(shù)等。隨著技術(shù)的發(fā)展,網(wǎng)關(guān)DDoS防范產(chǎn)品將得到廣泛的應(yīng)用。
         如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰)   聯(lián)系電話:0371—63322220


        本文出自:億恩科技【mszdt.com】

        服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

      2. 您可能在找
      3. 億恩北京公司:
      4. 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
      5. 億恩鄭州公司:
      6. 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
      7. 億恩南昌公司:
      8. 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
      9. 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
      10. 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
      11. 專注服務(wù)器托管17年
        掃掃關(guān)注-微信公眾號(hào)
        0371-60135900
        Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
          0
         
         
         
         

        0371-60135900
        7*24小時(shí)客服服務(wù)熱線