检测和防范DDoS攻击

DOS 拒绝服务攻击的缩写。它是一个发展到网络上攻击性很强的网站攻击方式。许多DoS攻击如死亡之Ping和Teardrop攻击利用在TCP / IP协议的局限性。几乎每一个已知的攻击,可用软件修复,系统管理员可以安装,以限制攻击造成的损害。像病毒一样,新的DoS攻击由hackers.With正在研制这种攻击通常有一个对用户的服务损失,更多的时候是有网络连接和服务等attacks.Hackers的损失,可以直接到任何网络攻击设备,其中包括路由器,DNS(域名服务器)等 。

 

有几种方法来识别DoS攻击。以下四种基本类型,可以帮助你实现对DoS攻击。

a)您可以实现服务器消耗大幅增加,或有一个系统超负荷 。您可能还注意到一个的网络资源,即超载。CPU,带宽和磁盘空间。
b在攻击的情况下)是在配置信息,如路由信息出现
了中断。C),有时也可以是一个物理网络
组件的破坏。D)可以是一个中断系统功能的正常运行,利用任何一个软件漏洞 。

在这种攻击中,攻击者尝试防洪unsolicitated数据包,从而阻止合法流量与网络,这是最常见的类型attack.This类型的攻击,破坏在使用多台主机的网络连接分布式拒绝服务作为DDoS攻击,也被称为除了randon交通特别两个先进的攻击方式是:

一)SYN洪水在这种虚假的SYN请求的服务来讲,通常的HTTP,导致服务器超负荷产卵的半开连接
。B )Smurf攻击在此ICMP请求发送,以一个配置不当的网络广播地址虚假源IP地址设置为目标之一。

分布式拒绝服务攻击

在分布式拒绝服务攻击,通常是一台个人电脑连接到宽带互联网网络已受到影响,如病毒或方案,特洛伊**** 。与这一个可以远程控制的机器和直接attack.This类型的计算机阵列作为botnet.With不管如何做好网站连接,可以被打乱。

TCP连接
的TCP连接通常需要三个呼吁作为一个交换两个机器之间的互联网包交换的TCP三路手抖下面是这个工作。

一个)SYN:在这个TCP客户端(FTP客户端,Web浏览器等)发起一个SYN报文转发到服务器TCP服务器的连接
。B )的SYN / ACK :当一个连接请求SYN包是在一个开放的接收TCP服务端口,服务器的操作系统连接接受答复发送SYN / ACK包。
三)确认:当客户端收到服务器的承认SYN / ACK包挂起的连接,回复一个ACK包。

滥用:传统的TCP SYN洪水

在这一个服务器收到客户端的SYN包会导致服务器准备一个connection.Memory缓冲区通常分配给客户端的连接,其中包括他们的远程IP连接的端口号发送和接收的连接data.It记录的各个细节这样的服务器是准备接受客户最终连接开放packet.Incase客户端的ACK包无法到达的ACK,服务器重新发送它的SYN / ACK包的假设,他们可能下降了失去之间。

由于技术,以避免此类攻击的增加,使****做了改进。随着使用原始套接字的数据包的返回地址,即。可以覆盖和伪造的源IP地址。当一个带有欺骗性源IP的SYN数据包到达服务器,它显示为任何其他有效的法律连接,因此服务器分配所需的内存缓冲区,并记录有关新connection.Further的信息,它发出的SYN / ACK的应答包客户端。但有人故意伪造的SYN包中的源IP,SYN / ACK数据将被发送到一个随机IP地址​​,在互联网上。最大的问题是,有超过40亿的互联网地址和服务器不知道,恶意的客户端连接fake.Therefore的每个请求被视为一个有效的连接request.It类似的方式,需要等待,直到客户端完成三通Handshake.If ACK没有收到服务器需要重新发送SYN / ACK假设,它可能已经在路径中丢失。

这表明连接管理服务器消耗宝贵的资源有限,。在此期间继续攻击的TCP客户端,拍摄出在服务器上,这迫使它积累不断增长的一个不完整的connections.There池而来的,当服务器无法容纳任何进一步的半开连接点和欺诈的SYN数据包,虽然连接是有效的,得到失败。这是由于能力有限,接受任何连接可能已消耗恶意。

DoS和DDoS之间的差异是什么?

DOS是一个传统的攻击方式,在一台机器(可能是一台个人电脑)攻击 。鉴于DDoS攻击是高一点和破坏性的DOS版本。在此洪水流量是由集中到一个单一的目标机或网络相结合的多台机器的带宽 。

识别并阻止DDoS攻击的步骤。

您可以检查当前HTTP使用的发射命令

================
- D2
================

柜面你很多httpd进程,那么你需要检查它是否是一种DoS攻击和服务器的SYN数据包淹没。您可以通过以下命令。

================================
NETSTAT - NAP | grep的SYN | wc - l统计
======== ========================

柜面你异常的数字,那么您的服务器受到攻击。

您可以检查从SYN数据包的IP地址。在这种情况下,你将不得不使用下面的命令:

================================
NETSTAT - NAP |少
============= ===================

你会得到内核路由表的所有的细节,也可以从数据包的IP地址。如果是从任何特定的IP未来,那么你可以简单地阻止服务器上的IP 。或者其从一个网络,那么你将要阻止的IP
范围,如果有多个IP地址攻击,那么你就会有发现受到
攻击的网站,要检查此去的的/ usr / local / apache中/ domlogs /

检查统计的日期是如何定义。然后运行命令“日期”。检查服务器的当前时间。然后,你必须检查该网站受到攻击,是几分钟前。假设当前的时间是08月30日0点04分48秒,然后运行命令

================================
GREP“30/Aug/2009:00:01”*
===== ===========================

它会告诉你当时访问的网站列表。如果你看到任何特定的网站被访问多次,那么该网站受到攻击。您可以chnage的时间来检查,如果有不同的网站受到攻击。您可以暂停该网站,以防止服务器超载。

很多次的攻击命中一个特定的IP和所有网站的IP得到攻击。所有你所要做的的是改变这些网站的IP地址,然后空IP路由。

 

出处: http://www.qilu6.com/knowledge/397.html

你可能感兴趣的:(ddos)