WEB开发网
开发学院网络安全安全技术 网络如何应对DDoS攻击 阅读

网络如何应对DDoS攻击

 2008-08-27 13:17:06 来源:WEB开发网   
核心提示:某公司网络系统受到DDoS攻击,其攻击流量高达60~70Mbps,网络如何应对DDoS攻击,攻击报文到达11万pps,如下图所示: 图一 攻击流量示意图从上图可以看出,尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,从Internet而来的流量(绿色)中只有很少部分流量是用户正常流量(篮线),篮线

某公司网络系统受到DDoS攻击,其攻击流量高达60~70Mbps,攻击报文到达11万pps,如下图所示:

网络如何应对DDoS攻击

图一 攻击流量示意图

从上图可以看出,从Internet而来的流量(绿色)中只有很少部分流量是用户正常流量(篮线),篮线以上部分为DDoS攻击流量。如果对于带宽比较紧张的市公司来说,无疑会形成严重的网络拥塞,造成大面积的用户投诉。

攻击报文分析

针对图二的攻击流量,在所接网吧交换机进行端口镜像后抓包,下图为攻击包解析截图。

网络如何应对DDoS攻击

图二 攻击报文分析图

可以看出,此攻击为攻击机发送大量无标志位(标志位设置为全0,图中红框重点标出)的畸形tcp报文。用大量发包的方式来耗尽网吧服务器资源,导致网吧不能正常上网。

攻击防范措施

1.在遭遇DDoS攻击时,通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。

2.安装专业防火墙进行非法流量过滤

在上述攻击实例中,我们架设了防DDoS攻击设备进行非法流量的过滤,拓扑图如图三所示,起到了不错的效果,保护了网吧的正常营业,但是攻击流量一直流向到防火墙,占用城域网带宽严重。

网络如何应对DDoS攻击

图三 DDoS防火墙安装示意图

3.对于用户来说,正常业务的开展是最根本的利益所在。随着大家对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。我们只能建议和呼吁:及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DDoS攻击的有效办法。

尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。

Tags:网络 如何 应对

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接