帮助与文档

DDOS网络攻击防御介绍

在从事IDC行业里,往往会遇到一些客户出现DDOS服务器被攻击的情况。究竟DDOS是如何攻击的呢?针对DDOS攻击,又是如何防御的呢?下面根据实际中经验针对DDOS攻击作以下介绍。

什么是DDOS攻击

DDOS攻击也就是:分布式拒绝服务攻击又称为“洪水式攻击”,DdoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。 也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。

为什么会DDOS攻击

黑客攻击做DDOS攻击的时候可能有多种原因,可能出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。

DDOS攻击表现

DDOS攻击主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。具体类型表现如下:

第一种类型:CC类攻击

  • 网站出现service unavailable提示

  • CPU占用率很高

  • 网络连接状态:netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条

  • 外部无法打开网站,软重启后短期内恢复正常,几分钟后又无法访问。  

第二种类型:SYN类攻击 

  • CPU占用很高

  • 网络连接状态:netstat –na,若观察到大量的SYN_RECEIVED的连接状态  

第三种类型:UDP类攻击 

  • 观察网卡状况 每秒接受大量的数据包

  • 网络状态:netstat –na TCP信息正常    

第四种类型:TCP洪水攻击 

  • CPU占用很高

  • netstat –na,若观察到大量的ESTABLISHED的连接状态 单个IP高达几十条甚至上百条 

如何防御DDOS攻击

对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点:

  • 充足的网络带宽保证

  • 升级主机服务器硬件

  • 采用高性能的网络设备

  • 把网站做成静态页面

  • 增强操作系统的TCP/IP栈

  • 每台网络设备或主机都需要随时更新其系统漏洞、

  • 关闭不需要的服务、安装必要的防毒和防火墙软件

  • 随时注意系统安全

  • 安装专业抗DDOS防火墙  

 有些 DDoS 会伪装攻击来源,假造封包的来源 ip,使人难以追查,这个部份可以透过设定路由器的过滤功能来防止,只要网域内的封包来源是其网域以外的 ip,就应该直接丢弃此封包而不应该再送出去,如果网管设备都支持这项功能,网管人员都能够正确设定过滤掉假造的封包,也可以大量减少调查和追踪的时间。

网域之间保持联络是很重要的,如此才能有效早期预警和防治 DDoS 攻击,有些 ISP会在一些网络节点上放置感应器侦测突然的巨大流量,以提早警告和隔绝 DDoS 的受害区域,降低顾客的受害程度。


  • 波浪
  • 波浪