DDO の 3 つの攻撃方法は次のとおりです: 1. SYN/ACK フラッド攻撃; 主に、偽造された送信元 IP と送信元ポートを持つ大量の SYN または ACK パケットを被害ホストに送信し、ホストのキャッシュ リソースが枯渇するか、応答パケットの送信がビジー状態になり、サービス拒否が発生します。 2. TCP フルコネクション攻撃。従来のファイアウォール インスペクションをバイパスするように設計されています。 3. スクリプト攻撃。サーバーとの通常の TCP 接続を確立し、大量のデータベース リソースを消費するクエリ、リスト、その他の呼び出しをスクリプト プログラムに継続的に送信することを特徴とします。
このチュートリアルの動作環境: Windows 7 システム、Dell G3 コンピューター。
Web サイトにとって最大の悩みは攻撃を受けることです。一般的なサーバー攻撃手法には、主にポート侵入、ポート侵入、パスワード クラッキング、DDOS 攻撃などがあります。その中で、DDOS は現在最も強力であり、防御が最も困難な攻撃の 1 つです。
それでは、DDOS 攻撃とは何でしょうか?
攻撃者は、サーバーに対して大量の正当なリクエストを偽造し、大量のネットワーク帯域幅を占有し、Web サイトを麻痺させてアクセス不能にさせます。その特徴は、防御コストが攻撃コストよりもはるかに高いことであり、ハッカーは 10G または 100G 攻撃を簡単に仕掛けることができますが、10G または 100G に対する防御コストは非常に高くなります。
DDOS 攻撃は、もともと DOS (Denial of Service) 攻撃と呼ばれていました。その攻撃原理は、「あなたはサーバーを持っており、私はパーソナル コンピュータを持っており、私は私のパーソナル コンピュータを使ってあなたのサーバーにメッセージを送信します」というものです。大量のジャンク情報はネットワークを混雑させ、データ処理の負担を増大させ、サーバーの CPU とメモリの効率を低下させます。
しかし、テクノロジーの進歩により、DOS のような 1 対 1 攻撃は防御しやすくなったため、DDOS 分散型サービス拒否攻撃が生まれました。原理は DOS と同じですが、違いは、DDOS 攻撃は多対 1 攻撃であり、数万台のパソコンでも DOS 攻撃を使用してサーバーを同時に攻撃することができ、最終的には攻撃されたサーバーが麻痺した。
3 つの一般的な DDOS 攻撃方法
SYN/ACK フラッド攻撃: 最も古典的で効果的な DDOS 攻撃方法。さまざまなシステムのネットワーク サービスを停止する可能性があります。主に、偽装された送信元 IP と送信元ポートを持つ大量の SYN または ACK パケットを被害ホストに送信することで、ホストのキャッシュ リソースが枯渇したり、応答パケットの送信でビジー状態になったりして、サービス妨害が発生します。送信元はすべて偽装されているため、欠点は、実装が難しく、高帯域幅のゾンビ ホストのサポートが必要なことです。
TCP フル接続攻撃: この攻撃は、従来のファイアウォールの検査をバイパスするように設計されています。通常の状況では、従来のほとんどのファイアウォールには、TearDrop や Land などの DOS 攻撃をフィルタリングする機能があります。通常の TCP 接続は無視されます。ご存知のとおり、多くのネットワーク サービス プログラム (IIS、Apache、その他の Web サーバーなど) が受け入れることができる TCP 接続の数は限られています。一度大量の TCP 接続があると、たとえTCP フル接続攻撃では、多数のゾンビ ホストを使用して、サーバーのメモリやその他のリソースが使い果たされてドラッグされるまで、被害サーバーとの多数の TCP 接続を継続的に確立します。この攻撃の特徴は、一般的なファイアウォールの保護を回避して攻撃の目的を達成できることですが、欠点は、多くのゾンビ ホストを見つける必要があることと、ゾンビの IP アドレスが異なるため、ホストが公開されると、このタイプの DDOS 攻撃方法は追跡されやすくなります。
スクリプト スクリプト攻撃: この攻撃は主に、ASP、JSP、PHP、CGI などのスクリプト プログラムを備え、MSSQLServer、MySQLServer、 Oracle などは、サーバーと通常の TCP 接続を確立し、大量のデータベース リソースを消費するクエリやリストなどの呼び出しをスクリプト プログラムに継続的に送信することを特徴とする、小規模かつ広範なアプローチを持つ代表的な攻撃手法です。 。
DDOS 攻撃から防御するにはどうすればよいですか?
一般的に、ハードウェア、単一ホスト、サーバー システム全体という 3 つの側面から始めることができます。
1. ハードウェア
1. 帯域幅の増加
帯域幅は攻撃に耐える能力を直接決定するため、帯域幅のハードウェア保護を増やすことが理論的に最適な解決策です。帯域幅が攻撃トラフィックより大きい限り心配する必要はありませんが、コストは非常に高くなります。
2. ハードウェア構成の改善
ネットワーク帯域の確保を前提に、CPU、メモリ、ハードディスク、ネットワークカード、ルーター、スイッチなどのハードウェア設備の構成改善を図ります。良く知られた評判の良いハードウェアを選択してください。良い製品です。
3. ハードウェア ファイアウォール
DDoS ハードウェア ファイアウォールを備えたコンピューター室にサーバーを配置します。プロフェッショナルグレードのファイアウォールは通常、異常なトラフィックをクリーニングおよびフィルタリングする機能を備えており、SYN/ACK 攻撃、TCP フル接続攻撃、スクリプト攻撃などのトラフィックベースの DDoS 攻撃に対抗できます。 2. 単一ホスト
1. システムの脆弱性を適時に修復し、セキュリティ パッチをアップグレードします。
2. 不要なサービスとポートを閉じ、不要なシステム アドオンと自動起動アイテムを減らし、サーバーで実行されるプロセスの数を最小限に抑え、動作モードを変更します3. iptables 4. アカウント権限を厳密に制御し、root ログインとパスワード ログインを禁止し、よく使用されるサービスのデフォルト ポートを変更します3. サーバー システム全体
1. 負荷分散
負荷分散を使用してリクエストをさまざまなサーバーに均等に分散し、単一サーバーの負荷を軽減します。
2. CDN
CDN は、インターネット上に構築されたコンテンツ配信ネットワークであり、各地に配置されたエッジサーバーを利用し、配信やスケジューリングなどの機能を通じてユーザーが近くのコンテンツを取得できるようにします。中央プラットフォームのモジュールに必要なコンテンツを追加し、ネットワークの混雑を軽減し、ユーザー アクセスの応答速度とヒット率を向上させるため、CDN アクセラレーションではロード バランシング テクノロジも使用されます。高防御のハードウェアファイアウォールと比較すると、無制限のトラフィック制限に耐えることはできませんが、CDN はより合理的であり、複数のノードで侵入トラフィックを共有します。現在、ほとんどの CDN ノードは 200G のトラフィック保護機能を備えています。ハード防御保護と組み合わせることで、ほとんどの DDoS 攻撃に対処できると言われています。
3. 分散クラスター防御
分散クラスター防御の特徴は、各ノードサーバーに複数の IP アドレスが設定され、各ノードが 10G 以上の DDoS 攻撃に耐えられることです。ノードが攻撃を受けてサービスを提供できない場合、システムは優先順位の設定に従って自動的に別のノードに切り替え、攻撃者のすべてのデータ パケットを送信ポイントに返し、攻撃元を麻痺させます。
ddos はアクティブな攻撃ですか? ###############はい。
DDoS は、Distributed Deno of Service Attack の略称です。分散型サーバー攻撃(以下、DDoS)とは、多数のコンピューター(サーバー)を同時に攻撃し、攻撃対象を正常に利用できなくさせるネットワーク攻撃の一種です。DDoS 攻撃はインターネット上で数え切れないほど発生しており、Google や Microsoft などの大企業も DDoS 攻撃の被害に遭っています。DDoS 攻撃は比較的一般的なタイプのネットワーク攻撃です。
関連知識の詳細については、FAQ
列をご覧ください。以上がDDoS の 3 つの攻撃方法とは何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。