DDOS幾種常見攻擊方式的原理及解決辦法

1樓：屹立的水塔

dos的表現形式

ddos的表現形式主要有兩種，一種為流量攻擊，主要是針對網路頻寬的攻擊，即大量攻擊包導致網路頻寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的記憶體被耗盡或cpu被核心及應用程式佔完而造成無法提供網路服務。

如何判斷**是否遭受了流量攻擊呢？可通過ping命令來測試，若發現ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的icmp協議沒有被路由器和防火牆等裝置遮蔽，否則可採取telnet主機伺服器的網路服務埠來測試，效果是一樣的。

不過有一

點可以肯定，假如平時ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再乙個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠端終端連線**伺服器會失敗。

相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時ping**主機和訪問**都是正常的，發現突然**訪問非常緩慢或無法訪問了，而ping還可以ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用netstat -na命令觀察到有大量的syn_received、time_wait、fin_wait_1等狀態存在，而established很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，ping自己的**主機ping不通或者是丟包嚴重，而ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是**主機遭受攻擊後導致系統核心或某些應用程式cpu利用率達到100%無法回應ping命令，其實頻寬還是有的，否則就ping不通接在同一交換機上的主機了。

當前主要有三種流行的ddos攻擊：

1、syn/ack flood攻擊：這種攻擊方法是經典最有效的ddos方法，可通殺各種系統的網路服務，主要是通過向受害主機傳送大量偽造源ip和源埠的syn或ack包，導致主機的快取資源被耗盡或忙於傳送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高頻寬的殭屍主機支援。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以ping的通，在伺服器上用netstat -na

命令會觀察到存在大量的syn_received狀態，大量的這種攻擊會導致ping失敗、tcp/ip棧失效，並會出現系統凝固現象，即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。

2、tcp全連線攻擊：這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾teardrop、land等dos攻擊的能力，但對於正常的tcp連線是放過的，殊不知很多網路服務程式（如：iis、apache等web伺服器）能接受的tcp連線數是有限的，一旦有大量的tcp連線，即便是正常的，也會導致**訪問非常緩慢甚至無法訪問，tcp全連線攻擊就是通過許多殭屍主機不斷地與受害伺服器建立大量的tcp連線，直到伺服器的記憶體等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍主機的ip是暴露的，因此容易被追蹤。

3、刷script指令碼攻擊：這種攻擊主要是針對存在asp、jsp、php、cgi等指令碼程式，並呼叫mssqlserver、mysqlserver、oracle等資料庫的**系統而設計的，特徵是和伺服器建立正常的tcp連線，並不斷的向指令碼程式提交查詢、列表等大量耗費資料庫資源的呼叫，典型的以小博大的攻擊方法。一般來說，提交乙個get或post指令對客戶端的耗費和頻寬的占用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支援數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過proxy**向主機伺服器大量遞交查詢指令，只需數分鐘就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是**慢如蝸牛、asp程式失效、php連線資料庫失敗、資料庫主程式占用cpu偏高。

這種攻擊的特點是可以完全繞過普通的防火牆防護，輕鬆找一些proxy**就可實施攻擊，缺點是對付只有靜態頁面的**效果會大打折扣，並且有些proxy會暴露攻擊者的ip位址。

完全抵禦住ddos攻擊是不可能的

對付ddos是乙個系統工程，想僅僅依靠某種系統或產品防住ddos是不現實的，可以肯定的是，完全杜絕ddos目前是不可能的，但通過適當的措施抵禦90%的ddos攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦ddos的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了ddos攻擊。

以下幾點是防禦ddos攻擊幾點:

1、採用高效能的網路裝置

首先要保證網路裝置不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等裝置的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關係或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的ddos攻擊是非常有效的。

2、充足的網路頻寬保證

網路頻寬直接決定了能抗受攻擊的能力，假若僅僅有10m頻寬的話，無論採取什麼措施都很難對抗現在的synflood攻擊，當前至少要選擇100m的共享頻寬，最好的當然是掛在1000m的主幹上了。

但需要注意的是，主機上的網絡卡是1000m的並不意味著它的網路頻寬就是千兆的，若把它接在100m的交換機上，它的實際頻寬不會超過100m，再就是接在100m的頻寬上也不等於就有了百兆的頻寬，因為網路服務商很可能會在交換機上限制實際頻寬為10m，這點一定要搞清楚。

3、安裝專業抗ddos防火牆

專業抗ddos防火牆採用核心提前過濾技術、反向探測技術、指紋識別技術等多項專利技術來發現和提前過濾ddos非法資料報，做到了智慧型抵禦使用者的dos攻擊。但也不能100％阻止對ddos非法資料報準確檢查。

2樓：芋頭醬啊

題主是想問，如果遇到ddos攻擊，應該如何解決吧？

ddos攻擊，叫做分布式拒絕服務攻擊，指通過過大的各種正常流量，大量占用伺服器處理資源或網路資源，從而使使用者無法正常的連線到伺服器，達成訪問。當然，ddos攻擊只是一種總的攻擊方式，最終的結果就是讓使用者無法正常訪問相應服務。

pc當前可以正常訪問server，並且server對pc提供服務需要占用上行頻寬1m。那麼server理論上可以同時對100名正常使用者提供服務。

此時hacker希望針對server進行ddos攻擊，那為了不暴露自己的身份，hacker不會使用自己的ip進行攻擊，他會各種世界各地的肉雞，各種各樣的ip對server進行攻擊，但是這種攻擊並不是向server注入什麼病毒木馬，而是正常的訪問server的服務，但是他們並不好好訪問，而是登入之後立刻下線，然後再次登入，再次下線，通過這樣的方式來占用server的上行頻寬以及server連線數，導致正常的pc無法進行正常訪問，這個就是ddos攻擊的模式，當然，ddos攻擊有很多種不同的方式，比如頻寬占用、tcp飢餓攻擊、ping of death等，這裡就不一一枚舉了。

那麼如何解決ddos攻擊呢？

在這裡列舉幾種常見的解決方式：

1、硬體防火牆

現在很多的下一代防火牆都帶有ddos攻擊防治的功能，在裝置出口處設定閾值針對於業務型別的閾值，比如門戶型**伺服器，使用者登入之後需要做的只是一些**、文件的查閱，每乙個ip向伺服器傳送的流量是很有限的，可能只有幾十k的速率，那這時我們就可以針對於每乙個訪問ip設定乙個閾值，如果乙個ip接入伺服器的速率超過100k，就將其暫時放入黑名單中，拒絕其後續的訪問，然後在一段時間之後進行黑名單解除。這樣的話，就可以避免大部分的ddos攻擊。

2、無防火牆的環境

如果企業沒有防火牆，只有路由器做閘道器，如何防治ddos？這時要基於攻擊方式來做區分：

如果是用登入連線數作為攻擊方式的話，我們可以在伺服器上，針對於同一ip在一段時間內進行登入次數進行閾值的設定，例如，1分鐘之後同乙個ip登入超過5次，則暫時將該ip放入黑名單，拒絕其訪問，一段時間之後再解禁即可。

如果是用流量擁堵的方式來進行攻擊的話，則可以通過更換伺服器ip的方式來暫時解決，然後在上游裝置上將原有ip位址的下一跳置為空，也就是做一條空路由，這樣就可以暫時解決ddos流量攻擊，當然，這是治標不治本的，最好的辦法就是增加頻寬，或者做伺服器的負載均衡。

總而言之，ddos作為當前internet中最毒瘤的攻擊方式，幾乎無法完全避免，畢竟你有張良計，我有過牆梯，如果攻擊方有錢，無限制的攻擊你，你其實也沒有太好的辦法，所以，建議通過硬體防火牆預防ddos攻擊，有些錢還是不能省的。

3樓：匿名使用者

目前ipv4網路環境中沒有完全抵抗ddos攻擊的方法。

無論你的軟硬體防護級別多高，機房的總頻寬有限。

4樓：弭駿

目前最常見的就是ssdp和tnp等都能在防火牆用協議處理一部分的不用太擔心方法

DDOS幾種常見攻擊方式的原理及解決辦法

流程有幾種表達方式，常見的表達方式有哪幾種

2019研究生考試調劑的幾種常見方式

焊接的連線方式有幾類，常見焊接方法有幾種

其他用戶還看了：