×

DDoS防御思路-UDP篇【编写中】

sheepxray sheepxray 发表于2022-10-05 22:58:38 浏览317 评论0

抢沙发发表评论

众所周知,DDoS作为一种逆天的物理网络攻击方式,暴力地对服务器进行破坏,接下来我将教大家如何进行防御

第一部分 概念

本段是给无知小白看的 如果有一定互联网基础可以选择跳过

定义


分布式拒绝服务攻击(英文意思是Distributed Denial of Service,简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。[2] 

攻击原理

分布式拒绝服务攻击原理分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。[3] 
一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。主控端和代理端分别用于控制和实际发起攻击,其中主控端只发布命令而不参与实际的攻击,代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机,攻击者有控制权或者部分控制权.它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端,攻击者就可以关闭或离开网络.而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源,而且这些数据包所请求的服务往往要消耗大量的系统资源,造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。[3] 

第二部分 防御

2.1 DNS防御

我们可以使用CloudFlare自带的免费cdn来对服务器进行防御与隐藏源站IP

优势 成本低廉

劣势 对部分ddos攻击防御无效 UDP流量无法通过免费版CDN 国内用户延迟将会急剧提升 并且其防御上限较低

2.2 带宽硬抗

我们可以通过将自己带宽升级到足够处理这些流量 但是通常带宽极贵

2.3 负载均衡

这个原理和cdn差不多 分流洗数据 量大了还是寄

2.4 【推荐】Frp分流

这个原理就是隔山打虎 frp分流机被攻击会直接进入黑洞 但是切断和源主机的联系

缺点是代价比较大 但是比硬抗要更省 但是同样情况可能会降低可用性

(人工快速切换且TTL低可以试试看)

shwx52

访客