DDoS の 3 つの攻撃方法とは何ですか?-よくある問題-php.cn

DDO の 3 つの攻撃方法は次のとおりです: 1. SYN/ACK フラッド攻撃; 主に、偽造された送信元 IP と送信元ポートを持つ大量の SYN または ACK パケットを被害ホストに送信し、ホストのキャッシュリソースが枯渇するか、応答パケットの送信がビジー状態になり、サービス拒否が発生します。 2. TCP フルコネクション攻撃。従来のファイアウォールインスペクションをバイパスするように設計されています。 3. スクリプト攻撃。サーバーとの通常の TCP 接続を確立し、大量のデータベースリソースを消費するクエリ、リスト、その他の呼び出しをスクリプトプログラムに継続的に送信することを特徴とします。

DDoS の 3 つの攻撃方法とは何ですか?

このチュートリアルの動作環境: Windows 7 システム、Dell G3 コンピューター。

Web サイトにとって最大の悩みは攻撃を受けることです。一般的なサーバー攻撃手法には、主にポート侵入、ポート侵入、パスワードクラッキング、DDOS 攻撃などがあります。その中で、DDOS は現在最も強力であり、防御が最も困難な攻撃の 1 つです。

それでは、DDOS 攻撃とは何でしょうか?

攻撃者は、サーバーに対して大量の正当なリクエストを偽造し、大量のネットワーク帯域幅を占有し、Web サイトを麻痺させてアクセス不能にさせます。その特徴は、防御コストが攻撃コストよりもはるかに高いことであり、ハッカーは 10G または 100G 攻撃を簡単に仕掛けることができますが、10G または 100G に対する防御コストは非常に高くなります。

DDOS 攻撃は、もともと DOS (Denial of Service) 攻撃と呼ばれていました。その攻撃原理は、「あなたはサーバーを持っており、私はパーソナルコンピュータを持っており、私は私のパーソナルコンピュータを使ってあなたのサーバーにメッセージを送信します」というものです。大量のジャンク情報はネットワークを混雑させ、データ処理の負担を増大させ、サーバーの CPU とメモリの効率を低下させます。

しかし、テクノロジーの進歩により、DOS のような 1 対 1 攻撃は防御しやすくなったため、DDOS 分散型サービス拒否攻撃が生まれました。原理は DOS と同じですが、違いは、DDOS 攻撃は多対 1 攻撃であり、数万台のパソコンでも DOS 攻撃を使用してサーバーを同時に攻撃することができ、最終的には攻撃されたサーバーが麻痺した。

3 つの一般的な DDOS 攻撃方法

SYN/ACK フラッド攻撃: 最も古典的で効果的な DDOS 攻撃方法。さまざまなシステムのネットワークサービスを停止する可能性があります。主に、偽装された送信元 IP と送信元ポートを持つ大量の SYN または ACK パケットを被害ホストに送信することで、ホストのキャッシュリソースが枯渇したり、応答パケットの送信でビジー状態になったりして、サービス妨害が発生します。送信元はすべて偽装されているため、欠点は、実装が難しく、高帯域幅のゾンビホストのサポートが必要なことです。

TCP フル接続攻撃: この攻撃は、従来のファイアウォールの検査をバイパスするように設計されています。通常の状況では、従来のほとんどのファイアウォールには、TearDrop や Land などの DOS 攻撃をフィルタリングする機能があります。通常の TCP 接続は無視されます。ご存知のとおり、多くのネットワークサービスプログラム (IIS、Apache、その他の Web サーバーなど) が受け入れることができる TCP 接続の数は限られています。一度大量の TCP 接続があると、たとえTCP フル接続攻撃では、多数のゾンビホストを使用して、サーバーのメモリやその他のリソースが使い果たされてドラッグされるまで、被害サーバーとの多数の TCP 接続を継続的に確立します。この攻撃の特徴は、一般的なファイアウォールの保護を回避して攻撃の目的を達成できることですが、欠点は、多くのゾンビホストを見つける必要があることと、ゾンビの IP アドレスが異なるため、ホストが公開されると、このタイプの DDOS 攻撃方法は追跡されやすくなります。

スクリプトスクリプト攻撃: この攻撃は主に、ASP、JSP、PHP、CGI などのスクリプトプログラムを備え、MSSQLServer、MySQLServer、 Oracle などは、サーバーと通常の TCP 接続を確立し、大量のデータベースリソースを消費するクエリやリストなどの呼び出しをスクリプトプログラムに継続的に送信することを特徴とする、小規模かつ広範なアプローチを持つ代表的な攻撃手法です。。

DDOS 攻撃から防御するにはどうすればよいですか?

一般的に、ハードウェア、単一ホスト、サーバーシステム全体という 3 つの側面から始めることができます。

1. ハードウェア

1. 帯域幅の増加

帯域幅は攻撃に耐える能力を直接決定するため、帯域幅のハードウェア保護を増やすことが理論的に最適な解決策です。帯域幅が攻撃トラフィックより大きい限り心配する必要はありませんが、コストは非常に高くなります。

2. ハードウェア構成の改善

ネットワーク帯域の確保を前提に、CPU、メモリ、ハードディスク、ネットワークカード、ルーター、スイッチなどのハードウェア設備の構成改善を図ります。良く知られた評判の良いハードウェアを選択してください。良い製品です。

3. ハードウェアファイアウォール

DDoS ハードウェアファイアウォールを備えたコンピューター室にサーバーを配置します。プロフェッショナルグレードのファイアウォールは通常、異常なトラフィックをクリーニングおよびフィルタリングする機能を備えており、SYN/ACK 攻撃、TCP フル接続攻撃、スクリプト攻撃などのトラフィックベースの DDoS 攻撃に対抗できます。 2. 単一ホスト

1. システムの脆弱性を適時に修復し、セキュリティパッチをアップグレードします。

2. 不要なサービスとポートを閉じ、不要なシステムアドオンと自動起動アイテムを減らし、サーバーで実行されるプロセスの数を最小限に抑え、動作モードを変更します

3. iptables

4. アカウント権限を厳密に制御し、root ログインとパスワードログインを禁止し、よく使用されるサービスのデフォルトポートを変更します

3. サーバーシステム全体

1. 負荷分散

負荷分散を使用してリクエストをさまざまなサーバーに均等に分散し、単一サーバーの負荷を軽減します。

2. CDN

CDN は、インターネット上に構築されたコンテンツ配信ネットワークであり、各地に配置されたエッジサーバーを利用し、配信やスケジューリングなどの機能を通じてユーザーが近くのコンテンツを取得できるようにします。中央プラットフォームのモジュールに必要なコンテンツを追加し、ネットワークの混雑を軽減し、ユーザーアクセスの応答速度とヒット率を向上させるため、CDN アクセラレーションではロードバランシングテクノロジも使用されます。高防御のハードウェアファイアウォールと比較すると、無制限のトラフィック制限に耐えることはできませんが、CDN はより合理的であり、複数のノードで侵入トラフィックを共有します。現在、ほとんどの CDN ノードは 200G のトラフィック保護機能を備えています。ハード防御保護と組み合わせることで、ほとんどの DDoS 攻撃に対処できると言われています。

3. 分散クラスター防御

分散クラスター防御の特徴は、各ノードサーバーに複数の IP アドレスが設定され、各ノードが 10G 以上の DDoS 攻撃に耐えられることです。ノードが攻撃を受けてサービスを提供できない場合、システムは優先順位の設定に従って自動的に別のノードに切り替え、攻撃者のすべてのデータパケットを送信ポイントに返し、攻撃元を麻痺させます。

ddos はアクティブな攻撃ですか? ＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃はい。

DDoS は、Distributed Deno of Service Attack の略称です。分散型サーバー攻撃（以下、DDoS）とは、多数のコンピューター（サーバー）を同時に攻撃し、攻撃対象を正常に利用できなくさせるネットワーク攻撃の一種です。

DDoS 攻撃はインターネット上で数え切れないほど発生しており、Google や Microsoft などの大企業も DDoS 攻撃の被害に遭っています。DDoS 攻撃は比較的一般的なタイプのネットワーク攻撃です。