应用实战:网络如何应对DDoS攻击?

日期: 2008-07-07 作者:宽让 来源:TechTarget中国

   某市公司网吧受到DDoS攻击,其攻击流量高达60~70Mbps,攻击报文到达11万pps,如下图所示:


图一-攻击流量示意图


图一 攻击流量示意图


  从上图可以看出,从Internet而来的流量(绿色)中只有很少部分流量是用户正常流量(篮线),篮线以上部分为DDoS攻击流量。如果对于带宽比较紧张的市公司来说,无疑会形成严重的网络拥塞,造成大面积的用户投诉。


  攻击报文分析


  针对图一的攻击流量,在所接网吧交换机进行端口镜像后抓包,下图为攻击包解析截图。


图二-攻击报文分析图


图二 攻击报文分析图


  由图二可看出,此攻击为攻击机发送大量无标志位(标志位设置为全0,图中红框重点标出)的畸形tcp报文。用大量发包的方式来耗尽网吧服务器资源,导致网吧不能正常上网。


  攻击防范措施


  1.在遭遇DDoS攻击时,通常会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。这样做的结果很明显,就是“因噎废食”,可以说是恰恰满足了黑客的心愿。


  2.安装专业防火墙进行非法流量过滤


  在上述攻击实例中,我们架设了防DDoS攻击设备进行非法流量的过滤,拓扑图如图四所示,起到了不错的效果,保护了网吧的正常营业,但是攻击流量一直流向到防火墙,占用城域网带宽严重。


图三-DDoS防火墙安装示意图


图三 DDoS防火墙安装示意图


  3.对于用户来说,正常业务的开展是最根本的利益所在。随着大家对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧。我们只能建议和呼吁:及早发现系统存在的攻击漏洞、及时安装系统补丁程序,以及不断提升网络安全策略,都是防范DDoS攻击的有效办法。


  尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张,但是在可以预见的将来,广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

宽让
宽让

相关推荐