DDOS攻击之我见

huuuuuuazi

DDOS攻击之我见\r\nDDOS网络攻击是我们最常见的问题了，要防止DDOS网络攻击，首先就要了解其攻击的方式。\r\n1.Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。\r\n2.Smurf：该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。\r\n3.Land-based：攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。\r\n4.Ping of Death：根据TCP/IP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。\r\n5.Teardrop：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动。\r\n6.PingSweep：使用ICMP Echo轮询多个主机。\r\n7.Pingflood: 该攻击在短时间内向目的主机发送大量ping包，造成网络堵塞或主机资源耗尽。\r\n网络攻击方面的术语解释DDOS：DDOS的中文名叫分布式拒绝服务攻击，俗称洪水攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。\r\n通过这些了解其攻击的方式，我们可以分析出DDOS攻击的根本原理不外乎发送虚假的IP/MAC或者发送不正常的SYN链接，大量ping包.虚假的IP/MAC还算试了些巧劲，大量的syn链接，大量ping包等就完全属于蛮力攻击。\r\n传统的针对DDOS的攻击，就是防火墙。防火墙的作用类似于，它存在在内网的关口处，练就了一身“金钟罩，铁布衫”，就是能把你打肿就是把你打不死。但是内网的DDOS呢。内网防火墙对洪水包这样的攻击还算有点用，但是内网中主机跟主机间的攻击怎么防火墙就奈何不了。所以说要解决内网的DDOS攻击问题，就要组建免疫网络。免疫网络要具备一下4点：1、拓展到网络的最末端，2、深入到协议的最底层、3、盘查到外网的出入口、4、总览到内网的最全貌。我们要从内网主机的每块网卡上入手，限制其只能通过真实的IP/MAC通信，网卡处设置策略每秒从自己网卡处发出的SYN请求数、PING包的大小数限制等等，这样内网的DDOS攻击就从根本上解决了。

michael1983

安全是安全了，但是会不会造成内网内网络的性能下降呢？