使用服务器或多或少都会有听说或受到攻击的用户都知道,服务器受到攻击会给自己在网络上的业务带来一定甚至严重的影响以及一定的经济损失。让我们看看攻击服务器类型的一些常见手段,以及攻击服务器时会发生什么。
DDOS攻击:
DDoS攻击这是网络中最常见的攻击类型,它衍生了许多其他类型的攻击。然而,它的原理是通过某台肉鸡发送大量合法的请求占用大量的服务资源,从而实现网络故障的目的或服务器崩溃。其中SYN flood 攻击利用TCP协议的缺陷发送大量的伪造的TCP连接请求,也就是说,断开连接在第二次握手之前,让服务器在等待响应,从而使被攻击方的资源耗尽(CPU满载或内存不足)的攻击方式。
TCP完整连接攻击是通过大量的肉鸡和目标服务器不断建立大量的TCP连接,因为TCP连接的数量是有限的,很容易使服务器内存和其他资源被耗尽、被拖跨,使得服务器造成拒绝服务。这种攻击可以绕过普通的防火墙,但需要大量的肉鸡,而且由于肉鸡的IP是暴露的,所以也很容易跟踪。
Script脚本攻击主要针对ASP、JSP、PHP、CGI等脚本。其原理是建立与服务器的正常TCP连接,同时不断向服务器提交查询列表等大量消耗数据库资源的调用指令,从而将服务器拖垮。
有三种主要的预防方法。一是防火墙,有网关防火墙和路由防火墙。它可以抵御大多数DDOS攻击。然后是CDN加速,它将这些攻击传播到镜像服务器上,这样攻击就不会对服务器产生太大的影响。最后是流量清洗。配备专业设备和解决方案,实时监控数据流量,洗去异常流量。
CC攻击:
攻击者控制肉鸡不断向目标服务器发送大量数据包,导致服务器资源耗尽或网络拥塞。CC可以模拟多个用户连续访问需要大量数据操作的页面,造成服务器资源的浪费。因为这些IP地址是真实的,数据包是正常的,请求也是有效的请求,所以服务器无法拒绝,从而使CPU长时间处于满载专题。总是有一个请求队列等待处理,直到正常访问被中止。防止CC攻击的方法包括:使您的站点尽可能地保持静态、限制连接数量、修改超时以及分析可疑的IP地址。
ARP欺骗:
这种攻击主要针对窃取用户账户数据和信息,通过伪造IP地址和MAC物理地址来实现欺骗。它还可以在网络中产生大量的ARP流量并阻塞网络。主要发生在区域网络,攻击者发出错误的ARP广告包,堵塞了正常的网络通信,以及自己的电脑伪装成别人的电脑,原本打算发送给他人数据,被派发到入侵者的电脑,从而达到窃取用户帐户数据的目的。
攻击的症状是什么,我们如何确定服务器是否受到攻击,以及攻击的类型是什么?
第一种类型:CC类攻击
(1)网站出现service unavailable提示;
(2) CPU占用率很高;
(3)网络连接状态:netstat—na,如果发现有大量的与一个单一的IP建立连接状态多达几十个,甚至几百个;
(4)外部网站不能打开,它会恢复正常后短时间内软重启,但几分钟后再次无法访问。
第二种类型:SYN类攻击
(1)CPU占用高;
(2)网络连接状态:netstat—na,如果观察到大量SYN_RECEIVED连接状态。
第三种类型:UDP类攻击
(1)观察网卡状态,每秒接收大量数据包;
(2)网络状态:netstat - na TCP信息正常。
第四种类型:TCP洪水攻击
(1)CPU使用率非常高;
(2)netstat - na,如果您观察到大量已建立的连接状态,单个IP可能多达几十个甚至数百个等。
很多企业都会选择高防IP来抵御恶意攻击,具有防御网络攻击功能的高防,那么高防IP能防御哪些攻击呢?
1、TCP洪水攻击:
由于需要三次TCP连接握手,所以在建立每个TCP连接时发送一个带有SYN标志的数据报。如果客户端在服务器发送应答之后没有发送确认,服务器将等待数据超时。
如果大量的受控制客户发出大量的带SYN标记的TCP请求数据报到服务器端后都没有应答,会使服务器端的TCP资源迅速枯竭,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。
2、UDP洪水攻击:
UDP是一个无连接协议,发送UDP数据报时接受方必须处理该数据报。在遇到UDP洪流攻击时,报文发往受害系统的随机或指定的端口,通常是目标主机的随机端口,这使得受害系统必须对流入的数据进行分析以确定哪个应用服务请求了数据。
若受害系统的某个攻击端口没有运行服务,它将用ICMP报文回应一个“目标端口不可达”消息。当控制了大量的代理主机发送这种数据报时,使得受害主机应接不暇,造成拒绝服务,同时也会拥塞受害主机周围的网络带宽。
3、ICMP洪流攻击:
就是通过代理向受害主机发送大量ICMPECHoREQUEST报文。这些报文涌向目标并使其回应报文,两者合并在一起的流量会使受害者主机网络带宽饱和,造成拒绝服务。
4、僵尸网络攻击:
它通常是指能够自动执行预先定义的功能,能够通过预先定义的命令进行控制,并且具有一定人工智能的程序。Bot可以通过各种方式进入受害者的主机,如溢出漏洞攻击、蠕虫邮件、网络共享、密码猜测、P2P软件、IRc文件传递等。
被害主机被植入Bot后,就主动和互联网上的一台或多台控制节点(例如IRC服务器)取得联系,进而自动接收黑客通过这些控制节点发送的控制指令,这些被害主机和控制服务器就组成了僵尸网络。
5、DDoS攻击:
黑客可以控制这些“僵尸网络”集中发动对目标主机的拒绝服务攻击。黑客可以控制这些“僵尸网络”集中发动对目标主机的拒绝服务攻击。类似地,也有已知的DDoS攻击(分布式拒绝服务攻击),攻击者控制网络上的傀儡主机,并对目标主机发起拒绝服务攻击。这将导致许多用户的业务崩溃和中断。
在IDC服务中,有很多特殊的术语,没有深入的行业理解,往往让人感到费解。在高防服务器租赁中,我们会看到高防服务器清洗这样的术语,“清洗”是什么服务?清洁的内容是什么?
高防服务器“清洗”一般指的是流量清洗,是提供给租用服务器的客户,针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。 流量清洗服务对客户的数据流量进行实时的监控,并在监控中及时发现异常流量(包括DOS攻击在内的攻击)。在不影响正常业务的前提下,清洗掉异常流量,保证客户业务的正常运行。
(1)流量清洗服务的定位
主要面对高防服务器租用中的客户,尤其是对互联网络有高度依赖性并且容易受到DDoS等流量攻击的客户是本产品的主要使用群体,这类客户主要有金融行业、游戏行业、电商行业、视频行业等。
(2)流量清洗的部署方式
通过在IDC出口通过旁挂的方式部署探测设备及防护设备,通过路由方式引导客户流量清洗,实现ddos防护的功能。
(3)流量清洗系统的构成
抗DDoS攻击流量清洗系统由攻击检测、攻击缓解和监控管理三大部分构成。
攻击检测系统检测隐藏在网络流量中的非法攻击流量,发现攻击后及时通知并激活防护设备对流量进行清理。攻击缓解系统通过专业的流量净化产品,将可疑流量从原来的网络路径重定向到净化产品进行恶意流量识别和剥离。
高防中的流量清理可以有效地满足客户对业务运行连续性的要求。同时,通过时间通告、分析报告等服务内容,提高客户网络流量的可见性和安全状态的明确性。为金融机构、游戏服务商、电子商务等因DDOS攻击而遭受巨大运营损失的客户提供强大的安全保障。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有