流量攻擊最常見(jiàn)的分兩種：DDOS攻擊，CC攻擊

第一種：DDOS攻擊

DDOS攻擊釋解為分布式拒絕服務(wù)攻擊。這種攻擊其最主要的形式是在短時(shí)間內(nèi)用大量的流量來(lái)占用服務(wù)器的帶寬，讓你的服務(wù)器承載不了從而癱瘓。當(dāng)然DDOS攻擊也分很多種類(lèi)，常見(jiàn)的其中攻擊方式我做下簡(jiǎn)單的介紹：Synflood: 釋解為拒絕服務(wù)攻擊，是當(dāng)前最流行的DoS（拒絕服務(wù)攻擊）與DdoS（分布式拒絕服務(wù)攻擊）的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡（CPU滿(mǎn)負(fù)荷或內(nèi)存不足）的攻擊方式。 Smurf：是以攻擊的程序來(lái)命名的。該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求(如ICMP回應(yīng)請(qǐng)求)的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。Land-based：攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)IP欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。PingofDeath：根據(jù)TCP/IP的規(guī)范，一個(gè)包的長(zhǎng)度最大為65536字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò)65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于65536字節(jié)的包時(shí)，就是受到了PingofDeath攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。 Teardrop：IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過(guò)發(fā)送兩段(或者更多)數(shù)據(jù)包來(lái)實(shí)現(xiàn)TearDrop攻擊。第一個(gè)包的偏移量為0，長(zhǎng)度為N，第二個(gè)包的偏移量小于N。為了合并這些數(shù)據(jù)段，TCP/IP堆棧會(huì)分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動(dòng)。PingSweep：使用ICMPEcho輪詢(xún)多個(gè)主機(jī)。 Pingflood:該攻擊在短時(shí)間內(nèi)向目的主機(jī)發(fā)送大量ping包，造成網(wǎng)絡(luò)堵塞或主機(jī)資源耗盡。

防DDOS攻擊對(duì)策：

(1)定期掃描

要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行清理。

(2)在骨干節(jié)點(diǎn)配置防火墻

防火墻本身能抵御Ddos攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣可以保護(hù)真正的主機(jī)不被攻擊。

(3)用足夠的機(jī)器承受黑客攻擊

這是一種較為理想的應(yīng)對(duì)策略。如果用戶(hù)擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪(fǎng)問(wèn)用戶(hù)、奪取用戶(hù)資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶(hù)被攻死，黑客已無(wú)力支招兒了。不過(guò)此方法需要投入的資金比較多，平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài)，和目前中小企業(yè)網(wǎng)絡(luò)實(shí)際運(yùn)行情況不相符。

(4)充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源

所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負(fù)載均衡設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)最先死掉的是路由器，但其他機(jī)器沒(méi)有死。死掉的路由器經(jīng)重 啟后會(huì)恢復(fù)正常，而且啟動(dòng)起來(lái)還很快，沒(méi)有什么損失。若其他服務(wù)器死掉，其中的數(shù)據(jù)會(huì)丟失，而且重啟服務(wù)器又是一個(gè)漫長(zhǎng)的過(guò)程。特別是一個(gè)公司使用了負(fù)載 均衡設(shè)備，這樣當(dāng)一臺(tái)路由器被攻擊死機(jī)時(shí)，另一臺(tái)將馬上工作。從而最大程度的削減了Ddos的攻擊。

(5)過(guò)濾不必要的服務(wù)和端口

可以使用Inexpress、Express、Forwarding等工具來(lái)過(guò)濾不必要的服務(wù)和端口，即在路由器上過(guò)濾假I(mǎi)P。比如Cisco公司的 CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較，并加以過(guò)濾。只開(kāi)放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開(kāi)放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

(6)檢查訪(fǎng)問(wèn)者的來(lái)源

使用Unicast ReversePath Forwarding等通過(guò)反向路由器查詢(xún)的方法檢查訪(fǎng)問(wèn)者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假I(mǎi)P地址方式迷惑用戶(hù)， 很難查出它來(lái)自何處。因此，利用Unicast Reverse Path Forwarding可減少假I(mǎi)P地址的出現(xiàn)，有助于提高網(wǎng)絡(luò)安全性。

(7)過(guò)濾所有RFC1918 IP地址

RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個(gè)網(wǎng)段的固定的IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，應(yīng)該把它們過(guò)濾掉。此方法并不是過(guò)濾內(nèi)部員工的訪(fǎng)問(wèn)，而是將攻擊時(shí)偽造的大量虛假內(nèi)部IP過(guò)濾，這樣也可以減輕Ddos的攻擊。

(8)限制SYN/ICMP流量

用戶(hù)應(yīng)在路由器上配置SYN/ICMP的最大流量來(lái)限制SYN/ICMP封包所能占有的最高頻寬，這樣，當(dāng)出現(xiàn)大量的超過(guò)所限定的SYN/ICMP流量 時(shí)，說(shuō)明不是正常的網(wǎng)絡(luò)訪(fǎng)問(wèn)，而是有黑客入侵。早期通過(guò)限制SYN/ICMP流量是最好的防范DOS的方法，雖然目前該方法對(duì)于Ddos效果不太明顯了， 不過(guò)仍然能夠起到一定的作用。

第二種：CC攻擊

CC攻擊的原理就是不停的發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器一直到對(duì)方服務(wù)器崩潰。

CC主要是用來(lái)攻擊頁(yè)面的，拿一個(gè)網(wǎng)站頁(yè)面來(lái)做比喻：當(dāng)一個(gè)網(wǎng)頁(yè)訪(fǎng)問(wèn)的人數(shù)特別多的時(shí)候，打開(kāi)網(wǎng)頁(yè)就慢了，CC就是模擬多個(gè)用戶(hù)（多少線(xiàn)程就是多少用戶(hù)）不停地進(jìn)行訪(fǎng)問(wèn)那些需要大量數(shù)據(jù)操作（就是需要大量CPU時(shí)間）的頁(yè)面，造成服務(wù)器資源的浪費(fèi)，CPU長(zhǎng)時(shí)間處于100%，永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪(fǎng)問(wèn)被中止。;

防CC攻擊對(duì)策：要防范CC、DDoS攻擊，使用硬件防火墻能有效抵擋低密度的攻擊。如果沒(méi)有硬件防火墻，就要建立IP地址和流量監(jiān)控機(jī)制，一旦發(fā)現(xiàn)某個(gè)IP地址的流量出現(xiàn)異常，路由器就立即斷開(kāi)與該IP地址的聯(lián)系。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專(zhuān)注服務(wù)器托管租用，是國(guó)家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營(yíng)商。億恩為近五十萬(wàn)的用戶(hù)提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶(hù)不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話(huà)：0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話(huà)：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話(huà)：0371-60135995
服務(wù)熱線(xiàn)：0371-60135900