針對DDOS攻擊的誤區有以下這些:
DDOS攻擊都來自PC組成的僵尸網絡:隨著技術的進步,服務提供商所使用的高性能服務器在處理性能和帶寬方面快速提升,而傳統的由PC組成的僵尸網絡卻發展緩慢。除了處理能力方面的因素外,PC通常只有非常有限的帶寬資源,而可供利用的時間也很不確定。
DDOS攻擊都是消耗網絡帶寬資源的攻擊:事實上,除了網絡帶寬資源,DDOS攻擊還有消耗系統資源和應用資源的攻擊方法,而攻擊流量的大小只是決定攻擊危害程度的一個方面。對于相同種類的攻擊,通常攻擊流量越大,其危害也越大,而如果在相同攻擊流量的情況下,不同的攻擊方法造成的危害和影響則不盡相同。
DDOS攻擊都是洪水攻擊:洪水攻擊確實占據了DDOS攻擊方法中相當大的比例,但并不是所有的DDOS攻擊都是洪水攻擊。除了洪水攻擊外,還有一些被稱為慢速攻擊(Low and Slow Attack)的攻擊方法。DDOS攻擊的精髓是:“消耗和長期占用大量資源,從而達到拒絕服務的目的”,洪水攻擊就是通過快速發送大量數據和請求,達到迅速消耗大量資源的目的,而慢速攻擊則有所不同,它會緩慢而堅定地發送請求并長期占用,一點一滴地蠶食目標的資源。
普通人不會遭遇DDOS攻擊:網絡犯罪團伙會為了利益進行敲詐,攻擊名氣大的站點的確可能獲得更高收益,但成本和風險同時也會增加;而規模較小的網站防護能力薄弱,更容易得手。競爭也是DDOS的重要原因之一,新進者可能攻擊領先者以搶奪用戶,而領先者也可能攻擊新進者來消除隱患。至于惡意的報復攻擊性,則完全不會考慮規模之類的因素。
只有黑客才能發起DDOS:網絡攻擊同樣如此。當前大部分黑客都專注于特定領域,有的擅長發現漏洞,有的善于開發工具,由的負責入侵過程,有的專門處理賬戶信息。就DDOS攻擊來說,一些黑客會建立和維護所謂的“攻擊網絡”。他們有的利用僵尸網絡,有的控制高性能服務器,形成攻擊能力后對外提供租用服務。而最終的租用者很可能只是不具備任何專業知識的普通人。這些服務使用方便,只要輸入攻擊目標的地址就可以完成整個攻擊過程。發起DDOS攻擊的可能是本地的網絡黑幫,可能是對街的競爭對手,可能是上周被開除的員工,甚至可能是某個老朋友有些過火的玩笑。潛在的攻擊者并不遙遠,他們也許就在你的身邊。
DDOS攻擊的目的就是單純破壞:毋庸置疑,DDOS攻擊的直接后果是破壞服務的可能性,簡直是這一看法的完美證據。可實際上,這些隱藏在面具后的是一雙雙能夠計算比特幣的眼睛。當今時代的攻擊者,對計算收益的敏感性遠超常人。他們會用破壞的威力換取對等的利潤,會用破壞的威懾避免自身可能受到的損失,會用破壞的杠桿撬起勝負的天平。更有時候,只需提示一下破壞的可能性,他們就可以坐地收銀。
防火墻和入侵檢測/防御系統能夠緩解DDOS攻擊:防火墻是最常用的安全產品,但是防火墻的設計原理中并沒有考慮針對DDOS攻擊的緩解。傳統的防火墻是以高強度的檢查作為代價來進行防護的,檢查的強度越高,計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降,不能有效地完成包轉發的任務。同時,傳統防火墻一般都部署在網絡入口位置,雖然這是某種意義上保護了網絡內部的所有資源,但是往往也成為DDOS攻擊的目標。
系統優化和增加帶寬能夠有效緩解DDOS攻擊:增加帶寬實際上屬于一種退讓策略,這種退讓策略還包括購買冗余硬件、增添性能更好的服務器等。只要攻擊者的DDOS攻擊造成資源消耗不高于目前的帶寬、計算等資源的承載能力,那么攻擊就是無效的;而一旦DDOS攻擊的資源消耗超出了目前的承載能力,則通過再次退讓來使其無效化。增加帶寬等退讓策略從理論上講的確能夠完全解決DDOS攻擊的問題,然而在實際上這種方式并不符合經濟規律。
預防DDOS攻擊的方法有以下這些:
充分利用網絡設備保護網絡資源,如路由器、防火墻等負載設備,進行配置使用都可以有效地保護網絡。
定期掃描網絡的節點,清查服務器存在的漏洞,及時進行更新和修復。
過濾服務器上非必要的服務和端口,在路由器上過濾假IP。使用反向路由器檢查訪問者的IP地址是否真實。單播反向路經轉發是判斷IP的方法,可以直接把虛假IP屏蔽掉。
配置SYN/ICMP做最大流量限制進行過濾,因為一般出現這樣的流量即為非正常的流量,即說明有不正常的網絡訪問,而正常的流量是不會使用超過這么大的流量包進行數據傳輸。
DDos流量清洗:流量清洗是用于準確識別網絡中的異常流量,丟棄其中的異常流量,保證正常流量通行的網絡安全設備。流量清洗的主要對象DDOS攻擊。
回答所涉及的環境:聯想天逸510S、Windows 10。
針對DDOS攻擊的誤區有以下這些:
DDOS攻擊都來自PC組成的僵尸網絡:隨著技術的進步,服務提供商所使用的高性能服務器在處理性能和帶寬方面快速提升,而傳統的由PC組成的僵尸網絡卻發展緩慢。除了處理能力方面的因素外,PC通常只有非常有限的帶寬資源,而可供利用的時間也很不確定。
DDOS攻擊都是消耗網絡帶寬資源的攻擊:事實上,除了網絡帶寬資源,DDOS攻擊還有消耗系統資源和應用資源的攻擊方法,而攻擊流量的大小只是決定攻擊危害程度的一個方面。對于相同種類的攻擊,通常攻擊流量越大,其危害也越大,而如果在相同攻擊流量的情況下,不同的攻擊方法造成的危害和影響則不盡相同。
DDOS攻擊都是洪水攻擊:洪水攻擊確實占據了DDOS攻擊方法中相當大的比例,但并不是所有的DDOS攻擊都是洪水攻擊。除了洪水攻擊外,還有一些被稱為慢速攻擊(Low and Slow Attack)的攻擊方法。DDOS攻擊的精髓是:“消耗和長期占用大量資源,從而達到拒絕服務的目的”,洪水攻擊就是通過快速發送大量數據和請求,達到迅速消耗大量資源的目的,而慢速攻擊則有所不同,它會緩慢而堅定地發送請求并長期占用,一點一滴地蠶食目標的資源。
普通人不會遭遇DDOS攻擊:網絡犯罪團伙會為了利益進行敲詐,攻擊名氣大的站點的確可能獲得更高收益,但成本和風險同時也會增加;而規模較小的網站防護能力薄弱,更容易得手。競爭也是DDOS的重要原因之一,新進者可能攻擊領先者以搶奪用戶,而領先者也可能攻擊新進者來消除隱患。至于惡意的報復攻擊性,則完全不會考慮規模之類的因素。
只有黑客才能發起DDOS:網絡攻擊同樣如此。當前大部分黑客都專注于特定領域,有的擅長發現漏洞,有的善于開發工具,由的負責入侵過程,有的專門處理賬戶信息。就DDOS攻擊來說,一些黑客會建立和維護所謂的“攻擊網絡”。他們有的利用僵尸網絡,有的控制高性能服務器,形成攻擊能力后對外提供租用服務。而最終的租用者很可能只是不具備任何專業知識的普通人。這些服務使用方便,只要輸入攻擊目標的地址就可以完成整個攻擊過程。發起DDOS攻擊的可能是本地的網絡黑幫,可能是對街的競爭對手,可能是上周被開除的員工,甚至可能是某個老朋友有些過火的玩笑。潛在的攻擊者并不遙遠,他們也許就在你的身邊。
DDOS攻擊的目的就是單純破壞:毋庸置疑,DDOS攻擊的直接后果是破壞服務的可能性,簡直是這一看法的完美證據。可實際上,這些隱藏在面具后的是一雙雙能夠計算比特幣的眼睛。當今時代的攻擊者,對計算收益的敏感性遠超常人。他們會用破壞的威力換取對等的利潤,會用破壞的威懾避免自身可能受到的損失,會用破壞的杠桿撬起勝負的天平。更有時候,只需提示一下破壞的可能性,他們就可以坐地收銀。
防火墻和入侵檢測/防御系統能夠緩解DDOS攻擊:防火墻是最常用的安全產品,但是防火墻的設計原理中并沒有考慮針對DDOS攻擊的緩解。傳統的防火墻是以高強度的檢查作為代價來進行防護的,檢查的強度越高,計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降,不能有效地完成包轉發的任務。同時,傳統防火墻一般都部署在網絡入口位置,雖然這是某種意義上保護了網絡內部的所有資源,但是往往也成為DDOS攻擊的目標。
系統優化和增加帶寬能夠有效緩解DDOS攻擊:增加帶寬實際上屬于一種退讓策略,這種退讓策略還包括購買冗余硬件、增添性能更好的服務器等。只要攻擊者的DDOS攻擊造成資源消耗不高于目前的帶寬、計算等資源的承載能力,那么攻擊就是無效的;而一旦DDOS攻擊的資源消耗超出了目前的承載能力,則通過再次退讓來使其無效化。增加帶寬等退讓策略從理論上講的確能夠完全解決DDOS攻擊的問題,然而在實際上這種方式并不符合經濟規律。
預防DDOS攻擊的方法有以下這些:
充分利用網絡設備保護網絡資源,如路由器、防火墻等負載設備,進行配置使用都可以有效地保護網絡。
定期掃描網絡的節點,清查服務器存在的漏洞,及時進行更新和修復。
過濾服務器上非必要的服務和端口,在路由器上過濾假IP。使用反向路由器檢查訪問者的IP地址是否真實。單播反向路經轉發是判斷IP的方法,可以直接把虛假IP屏蔽掉。
配置SYN/ICMP做最大流量限制進行過濾,因為一般出現這樣的流量即為非正常的流量,即說明有不正常的網絡訪問,而正常的流量是不會使用超過這么大的流量包進行數據傳輸。
DDos流量清洗:流量清洗是用于準確識別網絡中的異常流量,丟棄其中的異常流量,保證正常流量通行的網絡安全設備。流量清洗的主要對象DDOS攻擊。
回答所涉及的環境:聯想天逸510S、Windows 10。