随着网络攻击的日益普遍,网络防御变得比以往任何时候都更加重要。网络攻击服务器是网络防御的重要组成部分,它们可以帮助企业保护其网络和数据免受攻击。
网络攻击服务器流量的成本可能会很高。本指南将概述网络攻击服务器流量成本的各个方面,包括:
- 网络攻击服务器流量成本的类型
- 影响网络攻击服务器流量成本的因素
- 如何减少网络攻击服务器流量成本
网络攻击服务器流量成本的类型
网络攻击服务器流量成本主要分为两类:
直接成本
直接成本是直接与网络攻击服务器流量相关的成本。这些成本包括:
- 服务器硬件和软件成本
- 网络连接成本
- 电力成本
- 维护成本
间接成本
间接成本是与网络攻击服务器流量相关的间接成本。这些成本包括:
- 生产力损失
- 声誉损失
- 数据泄露成本
影响网络攻击服务器流量成本的因素
许多因素都会影响网络攻击服务器流量成本,包括:
- 服务器大小和配置
- 网络流量量
- 网络攻击的类型和严重性
- 网络防御措施
如何减少网络攻击服务器流量成本
有几种方法可以减少网络攻击服务器流量成本,包括:
优化服务器性能
通过优化服务器性能,您可以减少网络流量并降低成本。优化措施包括:
- 使用高性能硬件
- 优化服务器软件
- 实施负载均衡
实施网络防御措施
通过实施网络防御措施,您可以防止网络攻击并减少网络流量。网络防御措施包括:
- 防火墙
- 入侵检测系统
- 反恶意软件软件
利用云服务
利用云服务可以帮助您减少网络攻击服务器流量成本。云服务提供商通常可以提供具有成本效益的服务器和网络资源。
结论
网络攻击服务器流量成本是一个重要的考虑因素。通过了解成本的类型和影响因素,可以实施措施来减少成本并增强网络防御。
网络攻击服务器属于触犯什么法
在大多数国家,运行网络攻击服务器属于违法行为。它通常被认为是一种网络犯罪,可能导致罚款、监禁或两者兼施。具体法律可能因国家/地区而异,但共同点在于网络攻击服务器被视为一种危害国家安全和个人隐私的严重威胁。
信息安全和网络安全的区别和联系
信息安全和网络安全的区别和联系主要体现在以下方面:
无论是企业还是个人都要重视信息安全和网络安全,个人的话在即时通讯工具方面的信息量最大,每天都通过聊天工具产生巨大的信息量,如果聊天软件上的信息泄露了,后果不堪设想。
国外的很多即时通讯工具比如WhatsApp、Signal和Telegram等采用的都是端到端加密算法,这种加密技术能够确保信息不被第三方获取,但是这些软件在国内不能正常使用,并且如果深度使用的话,还有可能会被请去喝茶,风险很大,可以使用国产的蝙蝠来解决这个问题。
这款软件不仅在技术上加密,还有很多保护个人隐私信息的功能,比如设备锁、预设密信和双向撤回等。
双向撤回开启之后,能够一键撤回所有聊天记录,不留一点痕迹。
总的来说,网络安全和信息安全是相互关联、相互依存的。
在保护个人隐私时,需要综合考虑网络安全和信息安全两个方面的问题,采取综合性的解决方案来确保系统的安全性和可靠性。
关于电信网络关键信息基础设施保护的思考
文华为技术有限公司中国区网络安全与用户隐私保护部 冯运波 李加赞 姚庆天
根据我国《网络安全法》及《关键信息基础设施安全保护条例》,关键信息基础设施是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统”。
其中,电信网络自身是关键信息基础设施,同时又为其他行业的关键信息基础设施提供网络通信和信息服务,在国家经济、科教、文化以及 社会 管理等方面起到基础性的支撑作用。
电信网络是关键信息基础设施的基础设施,做好电信网络关键信息基础设施的安全保护尤为重要。
一、电信网络关键信息基础设施的范围
依据《关键信息基础设施安全保护条例》第 9条,应由通信行业主管部门结合本行业、本领域实际,制定电信行业关键信息基础设施的认定规则。
不同于其他行业的关键信息基础设施,承载话音、数据、消息的电信网络(以 CT 系统为主)与绝大多数其他行业的关键信息基础设施(以 IT 系统为主)不同,电信网络要复杂得多。
电信网络会涉及移动接入网络(2G/3G/4G/5G)、固定接入网、传送网、IP 网、移动核心网、IP 多媒体子系统核心网、网管支撑网、业务支撑网等多个通信网络,任何一个网络被攻击,都会对承载在电信网上的话音或数据业务造成影响。
在电信行业关键信息基础设施认定方面,美国的《国家关键功能集》可以借鉴。
2019 年 4 月,美国国土安全部下属的国家网络安全和基础设施安全局(CISA)国家风险管理中心发布了《国家关键功能集》,将影响国家关键功能划分为供应、分配、管理和连接四个领域。
按此分类方式,电信网络属于连接类。
除了上述电信网络和服务外,支撑网络运营的大量 IT 支撑系统,如业务支撑系统(BSS)、网管支撑系统(OSS),也非常重要,应考虑纳入关键信息基础设施范围。
例如,网管系统由于管理着电信网络的网元设备,一旦被入侵,通过网管系统可以控制核心网络,造成网络瘫痪;业务支撑系统(计费)支撑了电信网络运营,保存了用户数据,一旦被入侵,可能造成用户敏感信息泄露。
二、电信网络关键信息基础设施的保护目标和方法
电信网络是数字化浪潮的关键基础设施,扮演非常重要的角色,关系国计民生。
各国政府高度重视关键基础设施安全保护,纷纷明确关键信息基础设施的保护目标。
2007 年,美国国土安全部(DHS)发布《国土安全国家战略》,首次指出面对不确定性的挑战,需要保证国家基础设施的韧性。
2013 年 2 月,奥巴马签发了《改进关键基础设施网络安全行政指令》,其首要策略是改善关键基础设施的安全和韧性,并要求美国国家标准与技术研究院(NIST)制定网络安全框架。
NIST 于 2018 年 4 月发布的《改进关键基础设施网络安全框架》(CSF)提出,关键基础设施保护要围绕识别、防护、检测、响应、恢复环节,建立网络安全框架,管理网络安全风险。
NIST CSF围绕关键基础设施的网络韧性要求,定义了 IPDRR能力框架模型,并引用了 SP800-53 和 ISO 等标准。
IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,是这五个能力的首字母。
2018 年 5 月,DHS 发布《网络安全战略》,将“通过加强政府网络和关键基础设施的安全性和韧性,提高国家网络安全风险管理水平”作为核心目标。
2009 年 3 月,欧盟委员会通过法案,要求保护欧洲网络安全和韧性;2016 年 6 月,欧盟议会发布“欧盟网络和信息系统安全指令”(NISDIRECTIVE),牵引欧盟各国关键基础设施国家战略设计和立法;欧盟成员国以 NIS DIRECTIVE为基础,参考欧盟网络安全局(ENISA)的建议开发国家网络安全战略。
2016 年,ENISA 承接 NISDIRECTIVE,面向数字服务提供商(DSP)发布安全技术指南,定义 27 个安全技术目标(SO),该SO 系列条款和 ISO /NIST CSF之间互相匹配,关键基础设施的网络韧性成为重要要求。
借鉴国际实践,我国电信网络关键信息基础设施安全保护的核心目标应该是:保证网络的可用性,确保网络不瘫痪,在受到网络攻击时,能发现和阻断攻击、快速恢复网络服务,实现网络高韧性;同时提升电信网络安全风险管理水平,确保网络数据和用户数据安全。
我国《关键信息基础设施安全保护条例》第五条和第六条规定:国家对关键信息基础设施实行重点保护,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
我国《国家网络空间安全战略》也提出,要着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度。
参考 IPDRR 能力框架模型,建立电信网络的资产风险识别(I)、安全防护(P)、安全检测(D)、安全事件响应和处置(R)和在受攻击后的恢复(R)能力,应成为实施电信网络关键信息基础设施安全保护的方法论。
参考 NIST 发布的 CSF,开展电信网络安全保护,可按照七个步骤开展。
一是确定优先级和范围,确定电信网络单元的保护目标和优先级。
二是定位,明确需要纳入关基保护的相关系统和资产,识别这些系统和资产面临的威胁及存在的漏洞、风险。
三是根据安全现状,创建当前的安全轮廓。
四是评估风险,依据整体风险管理流程或之前的风险管理活动进行风险评估。
评估时,需要分析运营环境,判断是否有网络安全事件发生,并评估事件对组织的影响。
五是为未来期望的安全结果创建目标安全轮廓。
六是确定当期风险管理结果与期望目标之间的差距,通过分析这些差距,对其进行优先级排序,然后制定一份优先级执行行动计划以消除这些差距。
七是执行行动计划,决定应该执行哪些行动以消除差距。
三、电信网络关键信息基础设施的安全风险评估
做好电信网络的安全保护,首先要全面识别电信网络所包含的资产及其面临的安全风险,根据风险制定相应的风险消减方案和保护方案。
1. 对不同的电信网络应分别进行安全风险评估
不同电信网络的结构、功能、采用的技术差异很大,面临的安全风险也不一样。
例如,光传送网与 5G 核心网(5G Core)所面临的安全风险有显著差异。
光传送网设备是数据链路层设备,转发用户面数据流量,设备分散部署,从用户面很难攻击到传送网设备,面临的安全风险主要来自管理面;而5G 核心网是 5G 网络的神经中枢,在云化基础设施上集中部署,由于 5G 网络能力开放,不仅有来自管理面的风险,也有来自互联网的风险,一旦被渗透攻击,影响面极大。
再如,5G 无线接入网(5GRAN)和 5G Core 所面临的安全风险也存在显著差异。
5G RAN 面临的风险主要来自物理接口攻击、无线空口干扰、伪基站及管理面,从现网运维实践来看,RAN 被渗透的攻击的案例极其罕见,风险相对较小。
5G Core 的云化、IT 化、服务化(SBA)架构,传统的 IT 系统的风险也引入到电信网络;网络能力开放、用户端口功能(UPF)下沉到边缘等,导致接口增多,暴露面扩大,因此,5G Core 所面临的安全风险客观上高于 5G RAN。
在电信网络的范围确定后,运营商应按照不同的网络单元,全面做好每个网络单元的安全风险评估。
2. 做好电信网络三个平面的安全风险评估
电信网络分为三个平面:控制面、管理面和用户面,对电信网络的安全风险评估,应从三个平面分别入手,分析可能存在的安全风险。
控制面网元之间的通信依赖信令协议,信令协议也存在安全风险。
以七号信令(SS7)为例,全球移动通信系统协会(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能导致任意用户非法位置查询、短信窃取、通话窃听;如果信令网关解析信令有问题,外部攻击者可以直接中断关键核心网元。
例如,5G 的 UPF 下沉到边缘园区后,由于 UPF 所处的物理环境不可控,若 UPF 被渗透,则存在通过UPF 的 N4 口攻击核心网的风险。
电信网络的管理面风险在三个平面中的风险是最高的。
例如,欧盟将 5G 管理面管理和编排(MANO)风险列为最高等级。
全球电信网络安全事件显示,电信网络被攻击的实际案例主要是通过攻击管理面实现的。
虽然运营商在管理面部署了统一安全管理平台解决方案(4A)、堡垒机、安全运营系统(SOC)、多因素认证等安全防护措施,但是,在通信网安全防护检查中,经常会发现管理面安全域划分不合理、管控策略不严,安全防护措施不到位、远程接入 VPN 设备及 4A 系统存在漏洞等现象,导致管理面的系统容易被渗透。
电信网络的用户面传输用户通信数据,电信网元一般只转发用户面通信内容,不解析、不存储用户数据,在做好终端和互联网接口防护的情况下,安全风险相对可控。
用户面主要存在的安全风险包括:用户面信息若未加密,在网络传输过程中可能被窃听;海量用户终端接入可能导致用户面流量分布式拒绝服务攻击(DDoS);用户面传输的内容可能存在恶意信息,例如恶意软件、电信诈骗信息等;电信网络设备用户面接口可能遭受来自互联网的攻击等。
3. 做好内外部接口的安全风险评估
在开展电信网络安全风险评估时,应从端到端的视角分析网络存在的外部接口和网元之间内部接口的风险,尤其是重点做好外部接口风险评估。
以 5G 核心网为例,5G 核心网存在如下外部接口:与 UE 之间的 N1 接口,与基站之间的 N2 接口、与UPF 之间的 N4 接口、与互联网之间的 N6 接口等,还有漫游接口、能力开放接口、管理面接口等。
每个接口连接不同的安全域,存在不同风险。
根据3GPP 协议标准定义,在 5G 非独立组网(NSA)中,当用户漫游到其他网络时,该用户的鉴权、认证、位置登记,需要在漫游网络与归属网络之间传递。
漫游边界接口用于运营商之间互联互通,需要经过公网传输。
因此,这些漫游接口均为可访问的公网接口,而这些接口所使用的协议没有定义认证、加密、完整性保护机制。
4. 做好虚拟化/容器环境的安全风险评估
移动核心网已经云化,云化架构相比传统架构,引入了通用硬件,将网络功能运行在虚拟环境/容器环境中,为运营商带来低成本的网络和业务的快速部署。
虚拟化使近端物理接触的攻击变得更加困难,并简化了攻击下的灾难隔离和灾难恢复。
网络功能虚拟化(NFV)环境面临传统网络未遇到过的新的安全威胁,包括物理资源共享打破物理边界、虚拟化层大量采用开源和第三方软件引入大量开源漏洞和风险、分层多厂商集成导致安全定责与安全策略协同更加困难、传统安全静态配置策略无自动调整能力导致无法应对迁移扩容等场景。
云化环境中网元可能面临的典型安全风险包括:通过虚拟网络窃听或篡改应用层通信内容,攻击虚拟存储,非法访问应用层的用户数据,篡改镜像,虚拟机(VM)之间攻击、通过网络功能虚拟化基础设施(NFVI)非法攻击 VM,导致业务不可用等。
5. 做好暴露面资产的安全风险评估
电信网络规模大,涉及的网元多,但是,哪些是互联网暴露面资产,应首先做好梳理。
例如,5G网络中,5G 基站(gNB)、UPF、安全电子支付协议(SEPP)、应用功能(AF)、网络开放功能(NEF)等网元存在与非可信域设备之间的接口,应被视为暴露面资产。
暴露面设备容易成为入侵网络的突破口,因此,需重点做好暴露面资产的风险评估和安全加固。
四、对运营商加强电信网络关键信息基础设施安全保护的建议
参考国际上通行的 IPDRR 方法,运营商应根据场景化安全风险,按照事前、事中、事后三个阶段,构建电信网络安全防护能力,实现网络高韧性、数据高安全性。
1. 构建电信网络资产、风险识别能力
建设电信网络资产风险管理系统,统一识别和管理电信网络所有的硬件、平台软件、虚拟 VNF网元、安全关键设备及软件版本,定期开展资产和风险扫描,实现资产和风险可视化。
安全关键功能设备是实施网络监管和控制的关键网元,例如,MANO、虚拟化编排器、运维管理接入堡垒机、位于安全域边界的防火墙、活动目录(AD)域控服务器、运维 VPN 接入网关、审计和监控系统等。
安全关键功能设备一旦被非法入侵,对电信网络的影响极大,因此,应做好对安全关键功能设备资产的识别和并加强技术管控。
2. 建立网络纵深安全防护体系
一是通过划分网络安全域,实现电信网络分层分域的纵深安全防护。
可以将电信网络用户面、控制面的系统划分为非信任区、半信任区、信任区三大类安全区域;管理面的网络管理安全域(NMS),其安全信任等级是整个网络中最高的。
互联网第三方应用属于非信任区;对外暴露的网元(如 5G 的 NEF、UPF)等放在半信任区,核心网控制类网元如接入和移动管理功能(AMF)等和存放用户认证鉴权网络数据的网元如归属签约用户服务器(HSS)、统一数据管理(UDM)等放在信任区进行保护,并对用户认证鉴权网络数据进行加密等特别的防护。
二是加强电信网络对外边界安全防护,包括互联网边界、承载网边界,基于对边界的安全风险分析,构建不同的防护方案,部署防火墙、入侵防御系统(IPS)、抗DDoS 攻击、信令防护、全流量监测(NTA)等安全防护设备。
三是采用防火墙、虚拟防火墙、IPS、虚拟数据中心(VDC)/虚拟私有网络(VPC)隔离,例如通过防火墙(Firewall)可限制大部分非法的网络访问,IPS 可以基于流量分析发现网络攻击行为并进行阻断,VDC 可以实现云内物理资源级别的隔离,VPC 可以实现虚拟化层级别的隔离。
四是在同一个安全域内,采用虚拟局域网(VLAN)、微分段、VPC 隔离,实现网元访问权限最小化控制,防止同一安全域内的横向移动攻击。
五是基于网元间通信矩阵白名单,在电信网络安全域边界、安全域内实现精细化的异常流量监控、访问控制等。
3. 构建全面威胁监测能力
在电信网络外部边界、安全域边界、安全域内部署网络层威胁感知能力,通过部署深度报文检测(DPI)类设备,基于网络流量分析发现网络攻击行为。
基于设备商的网元内生安全检测能力,构建操作系统(OS)入侵、虚拟化逃逸、网元业务面异常检测、网元运维面异常检测等安全风险检测能力。
基于流量监测、网元内生安全组件监测、采集电信网元日志分析等多种方式,构建全面威胁安全态势感知平台,及时发现各类安全威胁、安全事件和异常行为。
4. 加强电信网络管理面安全风险管控
管理面的风险最高,应重点防护。
针对电信网络管理面的风险,应做好管理面网络隔离、运维终端的安全管控、管理员登录设备的多因素认证和权限控制、运维操作的安全审计等,防止越权访问,防止从管理面入侵电信网络,保护用户数据安全。
5. 构建智能化、自动化的安全事件响应和恢复能力
在网络级纵深安全防护体系基础上,建立安全运营管控平台,对边界防护、域间防护、访问控制列表(ACL)、微分段、VPC 等安全访问控制策略实施统一编排,基于流量、网元日志及网元内生组件上报的安全事件开展大数据分析,及时发现入侵行为,并能对攻击行为自动化响应。
(本文刊登于《中国信息安全》杂志2021年第11期)
被DDOS攻击会怎么样
方法/步骤一、为何要DDOS?随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。
出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。
二、什么是DDOS?DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。
也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。
虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。
就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。
三、被DDOS了吗?DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。
当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。
不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。
还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。
当前主要有三种流行的DDOS攻击:1、SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。
普通防火墙大多无法抵御此种攻击。
2、TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。
3、刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。
一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。
这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
四、怎么抵御DDOS?对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。
以下几点是防御DDOS攻击几点:1、采用高性能的网络设备首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。
再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。
但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。
也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》。
7、安装专业抗DDOS防火墙8、其他防御措施
