DDoS全稱Distributed Denial of Service,中文叫做“分布式拒絕服務(wù)”,就是利用大量合法的分布式服務(wù)器對目標(biāo)發(fā)送請求,從而導(dǎo)致正常合法用戶無法獲得服務(wù)。DDOS會(huì)耗盡網(wǎng)絡(luò)服務(wù)的資源,使服務(wù)器失去響應(yīng),為實(shí)施下一步網(wǎng)絡(luò)攻擊來做準(zhǔn)備。比如用KaLi_linux的hping3就可以很容易的實(shí)現(xiàn)DDOS攻擊。
1. DDOS攻擊的具體步驟
如圖,未受攻擊時(shí),netstat -nat可以查看到只有少量的網(wǎng)絡(luò)鏈接。
用KaLi Linux的hping3進(jìn)行SYN Flood攻擊。修改參數(shù)還可以進(jìn)行UDP Flood和ICMP Flood攻擊。
主機(jī)上用netstat查看,可以看到大量的SYN RECV狀態(tài)的連接,CPU耗用也很高。由于來源IP地址都是偽造的,而TCP SYN的超時(shí)時(shí)間至少需要30秒。這樣就可以消耗服務(wù)器的大量端口和網(wǎng)絡(luò)資源。
2. 如何防護(hù)DDOS攻擊?
DDOS必須在網(wǎng)絡(luò)邊緣處進(jìn)行防護(hù),大部分的防火墻都有類似的功能。以我司的WSG上網(wǎng)行為管理網(wǎng)關(guān)為例,開啟“DDOS防護(hù)”即可進(jìn)行有效的阻擋。如圖:
開啟DDOS防護(hù)后,SYN RECV的連接數(shù)大大減少,CPU的占用也少很多。
在WSG的“DDOS防護(hù)”中還可以看到防護(hù)的狀態(tài)統(tǒng)計(jì)。
