网站安全防护

服务咨询热线:

17202014336

渗透测试,ddos防护

对DDoS攻击和CC攻击的防御应该怎么做?

当前位置: 首页> 安全研究> 对DDoS攻击和CC攻击的防御应该怎么做?
时间:2021-08-02

  以前,只要网站排名特别好,所做的行业利益竞争特别激烈,网站基本上都会遭到网络攻击,大多数网站都会做渗透测试


  如今产业互联化的大趋势,DDoS攻击范围也越来越广,可以说是大小网站都会遇到ddos防护这样的问题。


  通常有两种网络攻击形式:DDoS攻击和CC攻击。


  DDoS,也就是“分布式拒绝服务”,那么分布式拒绝服务是什么?所以我们可以理解,凡是能造成合法用户无法访问正常网络服务的行为,就算是拒绝服务攻击。与此同时,它又被称为“洪灾式攻击”,因为攻击一旦发生,来自许多DOS攻击来源(通常称为肉鸡)的DOS攻击就像洪水般涌向受害主机,从而将合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。

渗透测试
  常用的DDos攻击方式:


  1.SYNFlood。


  采用TCP协议原理,该攻击方法是经典的DDOS攻击方法,可对各种系统的网络服务进行通杀,在TCP通道建立之前,需要三次握手,所以攻击者可以通过伪造大量的TCP握手请求来消耗服务器端的资源。


  2.HTTP文件。


  对于系统的每一个Web页面,或者资源,或者RestAPI,发送大量的httprequest,典型的以小博大的攻击方式,不足之处是对付只有静态页面的网站效果会大打折扣。


  3.攻击速度慢。


  Http协议规定,HttpRequest用rnrn结尾表示客户机发送结束。攻击者打开Http1.1的连接,设置Keep-Alive连接,保持与服务器的TCP长连接。之后,永远不要发送rnrn,每隔几分钟就写一些无意义的数据流,拖死计算机。


  4.P2P攻击。


  只要网上一件热点事件如XX门,就精心制作一个包含正确文件下载的种子。


  防御DDoS攻击的方法。


  1.过滤不必要的服务和端口。


  像Inexpress、Express、Forwarding这样的工具可以过滤不必要的服务和端口,也就是在路由器上过滤虚假的IP地址。


  2.清洗过滤异常流量。


  利用DDoS硬件防火墙对异常流量进行清洗过滤,通过数据包规则过滤、数据流指纹检测过滤以及数据包内容定制过滤等技术,可以准确判断外部访问流量是否正常,进一步将异常流量进行过滤。


  3.分布式集群防御。


  它是当前防御大规模DDoS攻击的最有效方法。如果某个节点不能为攻击提供服务,系统会根据其优先级设置自动切换另一个节点,并将攻击者的所有数据包返回给发送点,使攻击源处于瘫痪状态,从更深层次的安全防护角度来影响企业的安全执行决策。


  4.高度防御智能DNS分析。


  高度智能化DNS解析系统和DDoS防御系统的完美结合,为企业应对新出现的安全威胁提供了强大的探测能力。同时具有宕机检测功能,可以随时将瘫痪的服务器IP智能替换为正常的服务器IP,使企业网络的服务永远不会宕机。


  除上述所述,DDoS攻击的另一种衍生形式是CC攻击,其前身叫Fatboy攻击,也是一种常见的网站攻击方式,攻击者通过代理服务器或肉鸡不断向受害主机发送大量数据包,导致对方服务器资源耗尽,一直到崩溃为止。DDoS攻击CC比其他DDoS攻击技术要高一些。这类攻击不能看到真正的源IP,看不到特别大的异常流量,但是导致服务器无法正常连接。


  防御性进攻方式。


  1.变更登记机构。


  对于较小的CC攻击会起到一定的作用,但是很难防御大量的攻击,最终导致服务器死亡,网络中断。


  2.域名欺骗解析法。


  尽管CC攻击可防御,但正常流量访问也无法访问,无法正常使用,与您直接关闭网站没什么区别,所以不可取。


  3.使用防火墙。


  目前国内有多种免费防火墙。但通过实际使用和测试,真正对发包的大规模CC攻击真正起到防御作用的,寥寥无几,很多免费防御程序,或者免费防火墙,在对付短时期恶作剧攻击时有一定作用,但对付那些敲诈式,报仇式就很难发挥作用。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的官网新闻!

上一篇:为什么DDoS防御要用到高防IP? 下一篇:服务器被CC攻击的防护策略!
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测