DDoS 響應(yīng)

DDOS攻擊可以通過多種方式進(jìn)行，主要包括通過 SYN 淹沒、UDP 淹沒、Teardrop 攻擊、循環(huán) Ping、Smurfing、郵件炸彈等，DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。它是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器無法處理合法用戶的指令。

下圖顯示了典型 DDOS 攻擊的原理：

在金錢或滿足感的驅(qū)使下，Botmaster 通過命令和控制服務(wù)器將指令中繼到 Bot，后者同時將偽裝流量發(fā)送到受害者以干擾服務(wù)。在試圖處理數(shù)據(jù)包或請求時，系統(tǒng)會消耗所有的可用資源，甚至還會崩潰或無法響應(yīng)請求。

ISP 可以用來減少攻擊的第一種方法是重定向或黑洞路由：

實(shí)施這種方法時，發(fā)送到受感染計算機(jī)的地址的所有流量都被轉(zhuǎn)發(fā)到“棄牌區(qū)”。通過此種方式配置的任何路由器將攔截發(fā)送到受感染計算機(jī)的所有流量(無論是正常流量還是攻擊流量)。如果電子商務(wù)網(wǎng)站的用戶幾乎全部是國內(nèi)消費(fèi)者，那么在internet邊界實(shí)施黑洞機(jī)制可能是個好臨時解決方案。此方法可將帶寬釋放，并允許常規(guī)用戶使用其資源。但 Botnet 不會真正受到影響，國內(nèi)的 Bot Bot 仍然可以進(jìn)行攻擊。但是，在本例中，我們預(yù)期剩余的DDOS 攻擊將不會對受害的計算機(jī)產(chǎn)生很大影響。

更有效的解決方案是過濾：

通過數(shù)據(jù)包過濾，我們可將攻擊數(shù)據(jù)包與正常數(shù)據(jù)包區(qū)分開。只有正常數(shù)據(jù)包才允許傳輸?shù)浇邮照�。但是，傳統(tǒng)的數(shù)據(jù)包過濾不足以減少那些動態(tài)或快速更改其配置的 Botnet。使用合法服務(wù)的淹沒攻擊通常能夠得手。IP 協(xié)議和轉(zhuǎn)發(fā)機(jī)制使得 ISP 很難識別數(shù)據(jù)包的真正來源。此外，DDOS 攻擊者可以使用偽造的 IP 地址。為了彌補(bǔ)這個漏洞，我們可以采用第三種技術(shù)：追溯(traceback)。

使用 IP 追溯機(jī)制，我們可以找到攻擊的真正來源。我們可以確定攻擊的來源(或鄰近位置),并在最接近來源的位置攔截攻擊。

速率限制是另一種有效技術(shù)。它對具有惡意特征的數(shù)據(jù)流的高帶寬傳入流量實(shí)施速率限制：

流量(無論是正常流量還是攻擊流量)都可能受到速率限制。發(fā)生誤報的可能性也非常高。

DDos攻擊技術(shù)不斷地在提高，我們唯有徹底的了解其攻擊過程或原理，才能采取爭取手段將其打退，在以后的文章中我們還將詳細(xì)的向大家介紹有關(guān)DDos相應(yīng)的知識。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]