红客联盟CEO与天津站长探讨DDOS攻防
时间:2022-07-23 11:00:01 | 来源:建站知识
时间:2022-07-23 11:00:01 来源:建站知识
6月8日20:00,天津市软件行业协会互联网应用分会官方QQ群:39241075,第四期群例会研讨活动正式开始。中国红客联盟CEO主讲DDOS攻防。以下是研讨记录:
日期:2007年6月8日 20:00
官方QQ群:39241075
嘉宾:SHARPWINNER
===================================================================
互联刘维君(老麦296128095):
各位好,近日天津一些网站受到网络攻击,造成不同程度的损失。今天我们在admin5站长网稻草的支持下,邀请SHARPWINNER进行一次WEB安全的研讨活动,形式依然是请SHARPWINNER先讲20-30分钟,中间请不要打断,然后大家提问讨论一下。
简单介绍一下:
SHARPWINNER是中国红客联盟(www.redhacker.cn)CEO,《红客风云》作者,著有《解读红客-内幕大曝光》。
曾接受过中国教育电视台卫星频道(CETV-SD)《数字E族》等媒体访问,《百变红客SHARPWINNER》目前国内各大论坛均有转载。
SharpWinner:
今天给大家讲DDOS攻防方面的技术,随着互联网宽带不断的普及,越来越多的人使用上了宽带网络 ,但是同时也给黑客们带来了很多机会。这几年以来,各种各样技术的DDOS工具也越来越多,DDOS攻击的实施也越来越容易,于是,商业竞争,敲诈勒索等越来越多的使用到DDOS技术。很多IDC机房,电子商务网站,游戏服务器等一直被DDOS攻击技术所困扰,由此引发的法律纠纷,商业损失等等问题也越来越多,因此解决DDOS问题成了很多网络服务商,个人站长,有网站的公司必须考虑的重要事项。
我想简单做个调查,现在大家有受到过DDOS的攻击吗?...
看来DDOS攻击的问题就在大家身边发生
我们现在来分析DDOS的攻击原理。
首先,DDOS是英文Distributed Denial of Service的缩写,意思是分布式拒绝服务。
拒绝服务又是什么意思呢?就是采取一些垃圾数据包来阻塞网站的网络通道,导致让网站不能正常访问。分布式服务拒绝攻击就是用一台主服务器来控制N台肉鸡来对目标服务器进行服务拒绝攻击的方式
我们现在来讲讲被DDOS攻击的症状。
首先是网站如果打不开的话,可以尝试着用3389连接一下服务器看看,然后还可以用PING命令来测试,再一种方式就是用telnet来登录80端口看看,看会不会出现黑屏。如果这些方式测试都连接不上的话,那就说明受到DDOS攻击了。
然后如果除了80端口之外的其他端口连接都正常,PING命令测试也正常,但就是80端口访问不了,然后看看IIS是否正常,可以把80端口改成其他端口测试,如果可以正常访问,那就说明很可能受到CC攻击。
那现在我们再来详细讲讲几种流行的DDOS攻击方式
n SYN/ACK Flood攻击
这种攻击方法是经典最有效的DDOS方法,通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击 。
n TCP全连接攻击
这是第二种攻击方式
这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的。殊不知很多WEB服务程序能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问。
TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务。这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪
n CC攻击
现在来讲第三种攻击方式,这种攻击方式实质上是针对ASP,PHP,JSP等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的。特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。
一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。
这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址
刚才我们讲了几种目前用得比较多的DDOS攻击方式,那我们现在怎么来防御DDOS攻击呢?
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的。但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。
那么首先的一种方式就是采用高性能的网络设备,保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
第二种方式是充足的网络带宽
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击。当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了 ,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
然后最好的防范方式就是采用专业的抗DDOS防火墙,目前来说抗DDOS防火墙最高达到了10G,2G,4G,6G的集群防火墙现在都比较普遍,像这样的防火墙价格也是非常昂贵,从几万到几十万都有,那么对于个人站长来说肯定是难以接受的。但是还是有变通的办法,
现在我们红盟推出了千兆防火墙的服务器空间,多加共同来租用服务器空间这样就会把价钱降下来
然后还有一种最好的抗DDOS的技术,这种就是负载均衡,这种是对于一些大型IT企业而言的,增加服务器的数量来采用负载均衡技术,甚至购买七层的交换机设备,这样让抗DDOS的能力成倍增加,这样黑客攻击的成本就会非常高,以至于黑客会放弃。
好,今天我们告诉大家,DDOS的概念以及原理,然后攻击的症状,以及怎样来防御,那这些我们都已经讲完了,大家有什么问题现在可以提出来。
互联刘维君(老麦296128095):
SHARPWINNER为今天的研讨做了很多准备,非常感谢,下次我们将进行关于入侵的研讨。