DDoS技术,全称为 分布式拒绝服务攻击(Distributed Denial of Service),是一种网络攻击手法。其目的是通过利用大量被攻陷的计算机(称为“僵尸”计算机或“肉鸡”)向特定目标发送大量的正常或非正常请求,耗尽目标主机或网络资源,从而使被攻击的主机无法为正常用户提供服务,导致服务中断或停止。
DDoS攻击通常分为以下几种类型:
MAC泛洪:
攻击者在OSI第二层发送大量伪造源MAC地址和目的MAC地址的数据帧,导致交换机的内容可寻址存储器(CAM)满掉,进而使交换机失去转发功能。
网络泛洪:
包括Smurf和DDoS。Smurf攻击利用ICMP广播ping,导致链路流量过大;DDoS攻击则通过多个受控系统发送大量假冒的网络流量。
TCP SYN泛洪:
攻击者发送大量TCP SYN请求,使服务器资源耗尽,导致正常用户无法建立连接。
应用程序泛洪:
攻击者消耗应用程序或系统资源,例如通过发送大量垃圾邮件或持续的高CPU消耗程序。
防御DDoS攻击的方法包括:
定期扫描:
清查网络主节点可能存在的安全漏洞,并及时清理新出现的漏洞。
配置防火墙:
在骨干节点配置防火墙,将攻击流量导向牺牲主机,保护真正的主机不被攻击。
使用足够的机器承受攻击:
通过增加资源来消耗黑客的攻击能量,但这需要投入较多资金。
利用网络设备保护资源:
使用负载均衡设备,确保在部分设备被攻击时,其他设备能继续提供服务。
过滤不必要的服务和端口:
在路由器上过滤假IP和不必要的服务,只开放必要的端口。
检查访问者来源:
使用反向路由器查询等方法检查访问者的IP地址是否真实,从而减少假IP地址的出现。
限制SYN/ICMP流量:
在路由器上配置SYN/ICMP流量的最大值,限制异常流量。
通过这些方法,可以在一定程度上减轻或防御DDoS攻击的影响。