這篇文章主要詳細(xì)介紹了DDoS攻擊、CC攻擊的攻擊方式、服務(wù)器表現(xiàn)形式判斷與防御方法，小編覺得挺不錯(cuò)的，現(xiàn)在分享給大家，也給大家做個(gè)參考。一起跟隨小編過來看看吧

DDoS介紹

DDoS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會從很多DOS攻擊源(俗稱肉雞)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。

目前而言，黑客甚至對攻擊進(jìn)行明碼標(biāo)價(jià)，打1G的流量到一個(gè)網(wǎng)站一小時(shí)，只需50塊錢。10G攻擊相當(dāng)于一小時(shí)幾百塊這樣，DDoS的成本如此之低，而且攻擊了也沒人管。

 

關(guān)于DDos攻擊的常見方法

1. SYN Flood：利用TCP協(xié)議的原理，這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK 包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)。TCP通道在建立以前，需要三次握手：

a. 客戶端發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文， 同步報(bào)文指明客戶端所需要的端口號和TCP連接的初始序列號

b. 服務(wù)器收到SYN報(bào)文之后，返回一個(gè)SYN+ ACK報(bào)文，表示客戶端請求被接受，TCP初始序列號加1

c.客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器，同樣TCP序列號加1

d. 如果服務(wù)器端沒有收到客戶端的確認(rèn)報(bào)文ACK，則處于等待狀態(tài)，將該客戶IP加入等待隊(duì)列，然后輪訓(xùn)發(fā)送SYN+ACK報(bào)文

所以攻擊者可以通過偽造大量的TCP握手請求，耗盡服務(wù)器端的資源。

2. HTTP Flood：針對系統(tǒng)的每個(gè)Web頁面，或者資源，或者Rest API，用大量肉雞，發(fā)送大量http request。這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。缺點(diǎn)是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣。

3. 慢速攻擊：Http協(xié)議中規(guī)定，HttpRequest以\r\n\r\n結(jié)尾來表示客戶端發(fā)送結(jié)束。攻擊者打開一個(gè)Http 1.1的連接，將Connection設(shè)置為Keep-Alive， 保持和服務(wù)器的TCP長連接。然后始終不發(fā)送\r\n\r\n， 每隔幾分鐘寫入一些無意義的數(shù)據(jù)流， 拖死機(jī)器。

4. P2P攻擊：每當(dāng)網(wǎng)絡(luò)上出現(xiàn)一個(gè)熱門事件，比如XX門， 精心制作一個(gè)種子， 里面包含正確的文件下載， 同時(shí)也包括攻擊目標(biāo)服務(wù)器的IP。這樣，當(dāng)很多人下載的時(shí)候， 會無意中發(fā)起對目標(biāo)服務(wù)器的TCP連接。

 

DDOS攻擊現(xiàn)象判定方法

1.SYN類攻擊判斷：A.CPU占用很高；B.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態(tài)；C.網(wǎng)線插上后，服務(wù)器立即凝固無法操作，拔出后有時(shí)可以恢復(fù)，有時(shí)候需要重新啟動(dòng)機(jī)器才可恢復(fù)。

2.CC類攻擊判斷：A.網(wǎng)站出現(xiàn)service unavailable提示；B.CPU占用率很高；C.網(wǎng)絡(luò)連接狀態(tài)：netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條；D.用戶無法訪問網(wǎng)站頁面或打開過程非常緩慢,軟重啟后短期內(nèi)恢復(fù)正常,幾分鐘后又無法訪問。

3.UDP類攻擊判斷：A.觀察網(wǎng)卡狀況 每秒接受大量的數(shù)據(jù)包；B.網(wǎng)絡(luò)狀態(tài)：netstat –na TCP信息正常。

4.TCP洪水攻擊判斷：A.CPU占用很高；B.netstat –na,若觀察到大量的ESTABLISHED的連接狀態(tài) 單個(gè)IP高達(dá)幾十條甚至上百條

 

DDoS攻擊防御方法：

1. 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing Table做比較，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

2. 異常流量的清洗過濾：通過DDOS硬件防火墻對異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量禁止過濾。單臺負(fù)載每秒可防御800-927萬個(gè)syn攻擊包。

3. 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDOS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDOS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)，系統(tǒng)將會根據(jù)優(yōu)先級設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

4. 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDOS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對抗新興安全威脅的超級檢測功能。它顛覆了傳統(tǒng)一個(gè)域名對應(yīng)一個(gè)鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能DNS解析系統(tǒng)還有宕機(jī)檢測功能，隨時(shí)可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。

DDoS攻擊的網(wǎng)絡(luò)流量清洗

當(dāng)發(fā)生DDOS攻擊時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)會偵測到網(wǎng)絡(luò)流量的異常變化并發(fā)出報(bào)警。在系統(tǒng)自動(dòng)檢測或人工判斷之后，可以識別出被攻擊的虛擬機(jī)公網(wǎng)IP地址。這時(shí)，可調(diào)用系統(tǒng)的防DDOS攻擊功能接口，啟動(dòng)對相關(guān)被攻擊IP的流量清洗。流量清洗設(shè)備會立即接管對該IP地址的所有數(shù)據(jù)包，并將攻擊數(shù)據(jù)包清洗掉，僅將正常的數(shù)據(jù)包轉(zhuǎn)發(fā)給隨后的網(wǎng)絡(luò)設(shè)備。這樣，就能保證整個(gè)網(wǎng)絡(luò)正常的流量通行，而將DDOS流量拒之門外。

采用云DDoS清洗方式，可以為企業(yè)用戶帶來諸多好處。其表現(xiàn)在不僅可以提升綜合防護(hù)能力，用戶能夠按需付費(fèi)，可彈性擴(kuò)展，而且還能夠基于大數(shù)據(jù)來分析預(yù)測攻擊，同時(shí)能夠免費(fèi)升級。對于企業(yè)用戶來說，則可實(shí)現(xiàn)零運(yùn)維、零改造。以百度云加速來說，企業(yè)版就可防護(hù)最高30G流量DDOS峰值，不需要對源服務(wù)器進(jìn)行任何改造，只需對網(wǎng)站進(jìn)行解析修改即可。

 

 

CC攻擊介紹

CC攻擊（Challenge Collapsar）是DDOS（分布式拒絕服務(wù)）的一種，前身名為Fatboy攻擊，也是一種常見的網(wǎng)站攻擊方法。攻擊者通過代理服務(wù)器或者肉雞向向受害主機(jī)不停地發(fā)大量數(shù)據(jù)包，造成對方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。相比其它的DDOS攻擊CC似乎更有技術(shù)含量一些。這種攻擊你見不到真實(shí)源IP，見不到特別大的異常流量，但造成服務(wù)器無法進(jìn)行正常連接。最讓站長們憂慮的是這種攻擊技術(shù)含量低，利用更換IP代理工具和一些IP代理一個(gè)初、中級的電腦水平的用戶就能夠?qū)嵤┕簟?/p>

 

CC攻擊防御方法

1. 利用Session做訪問計(jì)數(shù)器：利用Session針對每個(gè)IP做頁面訪問計(jì)數(shù)器或文件下載計(jì)數(shù)器，防止用戶對某個(gè)頁面頻繁刷新導(dǎo)致數(shù)據(jù)庫頻繁讀取或頻繁下載某個(gè)文件而產(chǎn)生大額流量。（文件下載不要直接使用下載地址，才能在服務(wù)端代碼中做CC攻擊的過濾處理）

2. 把網(wǎng)站做成靜態(tài)頁面：大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要?jiǎng)討B(tài)腳本調(diào)用，那就把它弄到另外一臺單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器。

3. 增強(qiáng)操作系統(tǒng)的TCP/IP棧

windows server系統(tǒng)作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個(gè)SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個(gè)，具體怎么開啟，自己去看微軟的文章吧！《強(qiáng)化 TCP/IP 堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎么辦？很簡單，按照這篇文章去做吧！《SYN Cookies》。

4. 在存在多站的服務(wù)器上，嚴(yán)格限制每一個(gè)站允許的IP連接數(shù)和CPU使用時(shí)間，這是一個(gè)很有效的方法。CC的防御要從代碼做起，其實(shí)一個(gè)好的頁面代碼都應(yīng)該注意這些東西，還有SQL注入，不光是一個(gè)入侵工具，更是一個(gè)DDOS缺口，大家都應(yīng)該在代碼中注意。舉個(gè)例子吧，某服務(wù)器，開動(dòng)了5000線的CC攻擊，沒有一點(diǎn)反應(yīng)，因?yàn)樗械脑L問數(shù)據(jù)庫請求都必須一個(gè)隨機(jī)參數(shù)在Session里面，全是靜態(tài)頁面，沒有效果。突然發(fā)現(xiàn)它有一個(gè)請求會和外面的服務(wù)器聯(lián)系獲得，需要較長的時(shí)間，而且沒有什么認(rèn)證，開800線攻擊，服務(wù)器馬上滿負(fù)荷了。代碼層的防御需要從點(diǎn)點(diǎn)滴滴做起，一個(gè)腳本代碼的錯(cuò)誤，可能帶來的是整個(gè)站的影響，甚至是整個(gè)服務(wù)器的影響!

5. 服務(wù)器前端加CDN中轉(zhuǎn)(免費(fèi)的有百度云加速、360網(wǎng)站衛(wèi)士等)，如果資金充裕的話，可以購買收費(fèi)版的云加速效果更好，用于隱藏服務(wù)器真實(shí)IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服務(wù)器上部署的其他域名也不能使用真實(shí)IP解析，全部都使用CDN來解析。

另外，防止服務(wù)器對外傳送信息泄漏IP地址，最常見的情況是，服務(wù)器不要使用發(fā)送郵件功能，因?yàn)猷]件頭會泄漏服務(wù)器的IP地址。如果非要發(fā)送郵件，可以通過第三方代理(例如sendcloud)發(fā)送，這樣對外顯示的IP是代理的IP地址。

總之，只要服務(wù)器的真實(shí)IP不泄露，10G以下小流量DDOS的預(yù)防花不了多少錢，免費(fèi)的CDN就可以應(yīng)付得了。如果攻擊流量超過20G，那么免費(fèi)的CDN可能就頂不住了，需要購買一個(gè)高防的盾機(jī)來應(yīng)付了，而服務(wù)器的真實(shí)IP同樣需要隱藏

 

WAF介紹

WAF（Web Application Firewall）的中文名稱叫做“Web應(yīng)用防火墻”，利用國際上公認(rèn)的一種說法，WAF的定義是這樣的：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。通過從上面對WAF的定義中，我們可以很清晰的了解到，WAF是一種工作在應(yīng)用層的、通過特定的安全策略來專門為Web應(yīng)用提供安全防護(hù)的產(chǎn)品。

根據(jù)不同的分類方法，WAF可分為許多種。從產(chǎn)品形態(tài)上來劃分，WAF主要分為以下三大類：

1.硬件設(shè)備類：目前安全市場上，大多數(shù)的WAF都屬于此類。它們以一個(gè)獨(dú)立的硬件設(shè)備的形態(tài)存在，支持以多種方式（如透明橋接模式、旁路模式、反向代理等）部署到網(wǎng)絡(luò)中為后端的Web應(yīng)用提供安全防護(hù)。相對于軟件產(chǎn)品類的WAF，這類產(chǎn)品的優(yōu)點(diǎn)是性能好、功能全面、支持多種模式部署等，但它的價(jià)格通常比較貴。國內(nèi)的綠盟、安恒、啟明星辰等廠商生產(chǎn)的WAF都屬于此類。

2.軟件產(chǎn)品類：這種類型的WAF采用純軟件的方式實(shí)現(xiàn)，特點(diǎn)是安裝簡單，容易使用，成本低。但它的缺點(diǎn)也是顯而易見的，因?yàn)樗仨毎惭b在Web應(yīng)用服務(wù)器上，除了性能受到限制外，還可能會存在兼容性、安全等問題。這類WAF的代表有ModSecurity、Naxsi、網(wǎng)站安全狗等。

3.基于云的WAF：隨著云計(jì)算技術(shù)的快速發(fā)展，使得其于云的WAF實(shí)現(xiàn)成為可能。國內(nèi)百度旗下的百度云加速就是這類WAF的典型代表。它的優(yōu)點(diǎn)是快速部署、零維護(hù)、成本低。對于中、小型的企業(yè)和個(gè)人站長是很有吸引力的。

 

DDoS攻擊測試工具

1. 盧瓦(LOIC) (Low Orbit Ion Canon)：LOTC是一個(gè)最受歡迎的DOS攻擊工具。 這個(gè)工具被去年流行的黑客集團(tuán)匿名者用于對許多大公司的網(wǎng)絡(luò)攻擊。它可以通過使用單個(gè)用戶執(zhí)行DOS攻擊小型服務(wù)器，工具非常易于使用，即便你是一個(gè)初學(xué)者。 這個(gè)工具執(zhí)行DOS攻擊通過發(fā)送UDP,TCP或HTTP請求到受害者服務(wù)器。 你只需要知道服務(wù)器的IP地址或URL，其他的就交給這個(gè)工具吧。

2. XOIC：XOIC是另一個(gè)不錯(cuò)的DOS攻擊工具。它根據(jù)用戶選擇的端口與協(xié)議執(zhí)行DOS攻擊任何服務(wù)器。XOIC開發(fā)者還聲稱XOIC比上面的LOIC在很多方面更強(qiáng)大呢。

3. R-U-Dead-Yet：R-U-Dead-Yet是一個(gè)HTTP post DOS攻擊工具。它執(zhí)行一個(gè)DOS攻擊長表單字段，通過POST方法提交。這個(gè)工具提供了一個(gè)交互式控制臺菜單，檢測給定的URL,并允許用戶選擇哪些表格和字段應(yīng)用于POST-based DOS攻擊。

4. OWASP DOS HTTP POST：這是另外一個(gè)很好的工具。您可以使用這個(gè)工具來檢查您的web服務(wù)器能否夠捍衛(wèi)得住別人的DOS攻擊。當(dāng)然，不僅對防御，它也可以用來執(zhí)行DOS攻擊哦。

5. DAVOSET：DAVOSET是另一個(gè)很好的執(zhí)行DDOS攻擊工具。 最新版本的工具新增支持cookie以及許多其他功能。