DDOS 全称 Distributed Denial of Service,中文叫做“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。DDOS 会耗尽网络服务的资源,使服务器失去响应,为实施下一步网络攻击来做准备。比如用 KaLi_Linux 的 hping3 就可以很容易的实现 DDOS 攻击。
1. DDOS 攻击的具体步骤
如图,未受攻击时,netstat -nat 可以查看到只有少量的网络链接。
用 KaLi Linux 的 hping3 进行 SYN Flood 攻击。修改参数还可以进行 UDP Flood 和 ICMP Flood 攻击。
主机上用 netstat 查看,可以看到大量的 SYN RECV 状态的连接,CPU 耗用也很高。由于来源 IP 地址都是伪造的,而 TCP SYN 的超时时间至少需要 30 秒。这样就可以消耗服务器的大量端口和网络资源。
2. 如何防护 DDOS 攻击?
DDOS 必须在网络边缘处进行防护,大部分的防火墙都有类似的功能。以 WSG 上网行为管理网关为例,开启“DDOS 防护”即可进行有效的阻挡。如图:
开启 DDOS 防护后,SYN RECV 的连接数大大减少,CPU 的占用也少很多。
在 WSG 的“DDOS 防护”中还可以看到防护的状态统计。
本文为原创文章,版权归主机之家测评所有,欢迎分享本文,转载请保留出处!
