主流的服務器攻擊方式有多種手段，但是唯獨DDoS攻擊、CC攻(gong)擊(ji)(ji)以(yi)(yi)及ARP欺騙(pian)，這些攻(gong)擊(ji)(ji)方(fang)式被稱為三(san)大(da)攻(gong)擊(ji)(ji)手段，不僅可以(yi)(yi)致使服務器癱瘓，而且還很(hen)無解。

DDOS攻擊

DDoS攻擊全名叫做分布式拒絕服(fu)務(DDoS：Distributed Denial of Service)，攻擊者往往將多(duo)個(ge)計算機平臺(tai)聯合(he)起(qi)來對同一(yi)個(ge)目(mu)標(biao)(biao)或者多(duo)個(ge)目(mu)標(biao)(biao)進行攻擊，攻擊所造成的后果也因此(ci)而嚴(yan)重程(cheng)度不同。

DDoS攻擊為何如此無解呢?

因為(wei)DDoS攻(gong)(gong)擊(ji)(ji)常常會采用(yong)通過(guo)大量合(he)法的請(qing)求的手段占用(yong)服務(wu)器網(wang)絡資源，由此而達到癱瘓網(wang)絡的目的。服務(wu)器在面對DDoS攻(gong)(gong)擊(ji)(ji)時很(hen)難合(he)理的判定和區分請(qing)求，因此遭受攻(gong)(gong)擊(ji)(ji)時往(wang)往(wang)束手無(wu)策，只能等待攻(gong)(gong)擊(ji)(ji)者停止攻(gong)(gong)擊(ji)(ji)。

這是(shi)(shi)網(wang)絡中(zhong)最普遍的(de)(de)(de)攻擊(ji)類型,衍生了很多其他的(de)(de)(de)攻擊(ji)類型,但是(shi)(shi),其原(yuan)理(li)都是(shi)(shi)通過多臺肉(rou)雞(ji)發送大量合法的(de)(de)(de)請求占用大量服(fu)務資(zi)源(yuan),以達到癱瘓網(wang)絡或者服(fu)務器死(si)機的(de)(de)(de)目的(de)(de)(de)。其中(zhong)SYN Flood洪水攻擊(ji)利(li)用TCP協議的(de)(de)(de)缺陷,發送大量偽造的(de)(de)(de)TCP連接請求,即(ji)在第2次握手前(qian)斷開(kai)連接,使服(fu)務器端出于(yu)等待響應的(de)(de)(de)狀態,從而使得被攻擊(ji)方資(zi)源(yuan)耗盡(CPU滿負荷或內存不足)的(de)(de)(de)攻擊(ji)方式。

TCP全(quan)連接(jie)(jie)攻擊則(ze)是通(tong)過大量(liang)的(de)肉(rou)機(ji)(ji)不斷地和目標服(fu)(fu)務(wu)器(qi)建(jian)立大量(liang)的(de)TCP連接(jie)(jie),由于TCP連接(jie)(jie)數(shu)是有限的(de),很容易使服(fu)(fu)務(wu)器(qi)的(de)內(nei)存等資源(yuan)被(bei)耗盡而(er)被(bei)拖跨,從而(er)使服(fu)(fu)務(wu)器(qi)造成拒(ju)絕(jue)服(fu)(fu)務(wu)。這(zhe)種攻擊可以繞(rao)過一(yi)般(ban)防火墻(qiang),但是需要大量(liang)的(de)肉(rou)機(ji)(ji),并且由于肉(rou)機(ji)(ji)的(de)IP是暴(bao)露的(de),也非常容易被(bei)追蹤。

刷Script腳本攻(gong)擊(ji)主要針(zhen)對ASP、JSP、PHP、CGI等腳本程序。其原理是(shi)和服(fu)務(wu)器(qi)建立正常的TCP連(lian)接,同時不斷向服(fu)務(wu)器(qi)提(ti)交(jiao)查(cha)詢列(lie)表(biao)等大(da)量(liang)消耗數(shu)據庫資源的調用指令,從(cong)而拖垮服(fu)務(wu)器(qi)。

預防的主流辦法有三種

一是防(fang)(fang)火墻,也有網關防(fang)(fang)火墻和路由型防(fang)(fang)火墻之分。可以抵(di)御(yu)大(da)部(bu)分的DDOS攻擊。

再(zai)就是CDN加速(su),把這些攻(gong)擊分散到鏡(jing)像(xiang)服(fu)務器上,從而使這些攻(gong)擊無法(fa)對服(fu)務器產生過多的影響。

最后就是(shi)流(liu)量清洗(xi),部署專業的(de)設備和方案,對數據流(liu)量實(shi)時監控,清洗(xi)掉(diao)異常(chang)的(de)流(liu)量。

CC攻擊

CC攻(gong)(gong)擊(ji)相比DDoS攻(gong)(gong)擊(ji)也并不遜(xun)色(se)。本質上來看(kan)，二者(zhe)屬于同一類攻(gong)(gong)擊(ji)，均(jun)是要(yao)借助代理服務(wu)器生成指向受(shou)害(hai)主機的合法請求。但不同的是，DDoS攻(gong)(gong)擊(ji)通常針對平臺以及網站發送大(da)量數據包造(zao)成目標癱瘓，而CC攻(gong)(gong)擊(ji)則更(geng)傾向于攻(gong)(gong)擊(ji)頁(ye)面。

那(nei)么是否CC攻擊(ji)要比DDoS攻擊(ji)影(ying)響小呢?

并非這(zhe)樣，CC攻(gong)擊IP及流量，隱藏性都非常強(qiang)，這(zhe)種(zhong)攻(gong)擊手(shou)段是很多論壇用(yong)戶常見的(de)一(yi)種(zhong)，是目(mu)前十分(fen)主(zhu)流的(de)一(yi)種(zhong)服(fu)務器攻(gong)擊方式。

攻擊(ji)者控(kong)制肉機不(bu)停地發大(da)量(liang)數(shu)據包給目標服(fu)務(wu)器,從而造(zao)成服(fu)務(wu)器資源耗盡或網絡擁(yong)堵。CC可以模擬多個用戶不(bu)停地進行(xing)訪問那(nei)些(xie)需要大(da)量(liang)數(shu)據操作的(de)頁面(數(shu)據查詢(xun),論(lun)壇),造(zao)成服(fu)務(wu)器資源的(de)浪費,由于這些(xie)IP都是(shi)真(zhen)實(shi)的(de),數(shu)據包也正(zheng)常,請(qing)求(qiu)都是(shi)有效的(de)請(qing)求(qiu),服(fu)務(wu)器無法拒絕,從而讓(rang)CPU長時間處于滿(man)載(zai)的(de)專題。永遠(yuan)都有處理不(bu)完的(de)請(qing)求(qiu)排隊(dui),直到正(zheng)常的(de)訪問被(bei)中止。

預防CC攻擊的辦法有:

把網站盡量做(zuo)成靜態(tai)頁面、限(xian)制(zhi)連(lian)接的(de)數量、修改超時(shi)時(shi)間、以(yi)及分(fen)析可疑IP。

ARP欺騙

ARP(Address Resolution Protocol)欺騙通俗來講便是將IP地址轉化成物(wu)理地址的協議。其一(yi)(yi)般會(hui)有兩(liang)種出現(xian)方式，一(yi)(yi)種為對路由器(qi)ARP表的欺騙;另一(yi)(yi)種是對內網PC的網關欺騙。

這兩種欺(qi)騙(pian)都會引起十分嚴重的后果(guo)，對路(lu)由器(qi)(qi)的欺(qi)騙(pian)可(ke)能會導致相關網(wang)關數(shu)據被截獲，黑客制造路(lu)由器(qi)(qi)錯誤的內網(wang)Mac地(di)址，使得(de)真實信(xin)息無法保存于路(lu)由器(qi)(qi)之中。而對PC的網(wang)關欺(qi)騙(pian)則是通過偽造網(wang)關，欺(qi)騙(pian)PC向假(jia)的網(wang)關發送數(shu)據。

這類攻擊則主(zhu)要是以竊取(qu)用戶(hu)賬(zhang)戶(hu)數據資(zi)料為目的(de),通(tong)過偽(wei)造IP地(di)址和MAC物理地(di)址實(shi)現欺騙(pian),也能夠(gou)在(zai)網(wang)絡中產生(sheng)大量的(de)ARP通(tong)信量使(shi)網(wang)絡阻塞。主(zhu)要發生(sheng)在(zai)區域網(wang)內,攻擊者通(tong)過發布錯誤的(de)ARP廣播包,阻斷正常的(de)網(wang)絡通(tong)信,而(er)且還將自(zi)己的(de)電腦偽(wei)裝成他人的(de)電腦,原本是要發往他人的(de)數據,被發到了入侵(qin)者的(de)電腦上,從而(er)達到竊取(qu)用戶(hu)賬(zhang)戶(hu)數據資(zi)料的(de)目的(de)。

預防ARP欺騙的方法有

安裝專業的(de)殺毒軟件、綁定IP和MAC地(di)址。

不能防御但能減輕

三大攻(gong)擊(ji)無解，但是我(wo)們(men)(men)卻看到了這(zhe)(zhe)些攻(gong)擊(ji)手段(duan)并沒有讓我(wo)們(men)(men)的(de)(de)互聯網時(shi)代癱瘓，也(ye)沒有泛(fan)濫成災。這(zhe)(zhe)是因為這(zhe)(zhe)些攻(gong)擊(ji)手段(duan)雖然無法防御，卻可以(yi)通過有效(xiao)的(de)(de)手段(duan)來(lai)減輕(qing)攻(gong)擊(ji)造成的(de)(de)損害，降(jiang)低被攻(gong)擊(ji)的(de)(de)概率。

幾種防御殺手方法

DDoS攻(gong)擊(ji)由(you)于其普遍性(xing)和(he)臭名(ming)昭著(zhu)，幾乎目前(qian)所有的計算機都已經對其有所防(fang)范。防(fang)火墻(qiang)就是防(fang)范DDoS攻(gong)擊(ji)的一(yi)大利器。網關(guan)防(fang)火墻(qiang)和(he)路由(you)防(fang)火墻(qiang)應(ying)對不同類(lei)型的DDoS攻(gong)擊(ji)均可起到一(yi)定的作用(yong)。

而(er)次外，采用CDN加(jia)速(su)，把這些攻擊分(fen)散到鏡(jing)像(xiang)服(fu)務(wu)器(qi)上，降低對服(fu)務(wu)器(qi)影響也(ye)是一種不(bu)錯的應對方法。

而(er)如果(guo)企業飽受DDoS攻擊(ji)困擾，那(nei)就(jiu)只能(neng)采(cai)用最有(you)效也是最貴的(de)流(liu)量清洗了。部署專業的(de)設(she)備和方案，對(dui)數(shu)據流(liu)量實時(shi)監控(kong)，清洗掉(diao)異(yi)常的(de)流(liu)量。同(tong)時(shi)，增加帶寬，企業核心業務云(yun)化也是一種應對(dui)手(shou)段。

而CC攻(gong)擊由(you)于更針對(dui)(dui)網頁(ye)，取消域名綁定(ding)是一種不錯的方(fang)(fang)式。但是這種方(fang)(fang)法(fa)治(zhi)標不治(zhi)本，很可(ke)能引發CC攻(gong)擊對(dui)(dui)新(xin)(xin)域名的新(xin)(xin)一輪轟炸。

再者，采(cai)用靜態頁面可以增加(jia)攻擊時(shi)間，降低(di)攻擊頻率，減(jian)緩問題。而禁用網站代(dai)理訪(fang)問雖然會給用戶造(zao)成一(yi)定困擾，可是也(ye)是防御DDoS和(he)CC攻擊都很(hen)可靠的(de)方式。限制連接數量，修(xiu)改最大超時(shi)時(shi)間等，均可以對分布(bu)式攻擊的(de)癥狀有所緩解(jie)。

但(dan)是(shi)，CC攻(gong)擊是(shi)技(ji)術性比較強的一(yi)種(zhong)攻(gong)擊，一(yi)般的防御手段(duan)雖然可(ke)以應付(fu)。可(ke)是(shi)如果其采用(yong)大流(liu)量攻(gong)擊，那么除了增加帶寬等(deng)砸錢的辦(ban)法，企業(ye)也基本上束手無策。因此，采用(yong)云化的方式也正在被開發用(yong)以對付(fu)分布式攻(gong)擊。

而ARP欺(qi)騙需要ARP病毒的(de)幫助，因(yin)此(ci)，一(yi)款良好(hao)的(de)殺(sha)毒軟件可(ke)以讓用(yong)戶事半功倍。但是(shi)如果(guo)僅僅是(shi)殺(sha)毒還是(shi)治(zhi)標不治(zhi)本，尋找正確的(de)方式找到ARP病毒源，進行相應(ying)的(de)查殺(sha)才能有所(suo)改觀。

再(zai)者，由于ARP攻(gong)擊(ji)手段主要采用了偽裝IP地址和MAC地址的(de)方(fang)式對用戶進行錯誤的(de)誘導(dao)，因此，綁(bang)定IP及MAC地址也可以有良(liang)好(hao)的(de)效(xiao)果。

結束語

三大攻擊手(shou)段雖然(ran)無法(fa)徹底(di)根除，但(dan)是(shi)其并不(bu)足以讓(rang)我們對(dui)互(hu)聯網安全失去(qu)信心。采用(yong)正確的(de)(de)防(fang)范手(shou)段，針(zhen)對(dui)性的(de)(de)進(jin)行防(fang)御，便(bian)可以成功降低其對(dui)用(yong)戶的(de)(de)危害(hai)。同時，由于云(yun)(yun)計算(suan)的(de)(de)崛起，當(dang)今互(hu)聯網企業(ye)云(yun)(yun)遷移也是(shi)解決(jue)此類問題的(de)(de)良方之一。而隨著云(yun)(yun)技術更深層次的(de)(de)發(fa)展，也相信這(zhe)些頑固舊疾終有一天(tian)在云(yun)(yun)被處決(jue)。

租用廈門BGP高防物理機哪家好?

L5630X2 16核 32G 240G SSD 1個ip 30G防御 30M獨享(xiang) 廈門(men)BGP

E5-2690v2X2 40核 64G 500G SSD 1個ip 30G防御(yu) 30M獨享(xiang) 廈門BGP

L5630X2 16核 32G 240G SSD 1個ip 100G防御 50M獨享 廈門BGP

E5-2690v2X2 40核 64G 500G SSD 1個ip 100G防御 50M獨(du)享 廈門(men)BGP

I9-9900K(水冷(leng)定制) 32G(定制) 512G SSD(調優) 1個ip 100G防御 50M獨享 廈(sha)門(men)BGP

I9-10900K(強勁(jing)水冷) 64G(定制) 1T SSD(調優) 1個ip 100G防御 50M獨享 廈門BGP

E5-2698v4X2 80核(戰艦(jian)級(ji)) 64G 512G SSD(調優) 1個(ge)ip 200G防(fang)御 50M獨(du)享 廈門BGP

E5-2660X2 32核 32G 500G SSD 1個ip 300G防御 100M獨享(xiang) 廈門BGP

縱橫數據專業提供高防服務器租用，包含美國高防服務器租用、韓國高防服務器租用、香港高防服務器租用、宿遷高防服務器租用、濟南高防服務器租用、東莞高防服務器租用、廈門高防服務器租用、泉州高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)、青島高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)、寧波(bo)高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)、揚州高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)、杭州高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)、江蘇高防服(fu)務(wu)器(qi)租(zu)(zu)用(yong)(yong)(yong)等(deng)，有需要的朋友可以咨詢我們，官網注冊地址：//66moju.cn/，QQ：3494196421，微信：19906048603。