盗墓笔记同人小说,重生之毒妃梅果小说,大主宰之灵路天蚕土豆

Google | Yahoo! | FaceBook |

首頁(yè) > 知識(shí)庫(kù) > DDoS 分散式阻斷服務(wù)(Distributed Denial of Service)
分享
DDoS 分散式阻斷服務(wù)(Distributed Denial of Service)

分散式阻斷服務(wù)（Distributed Denial of Service）是目前駭客主要的攻擊方式之ㄧ
，容易對(duì)攻擊目標(biāo)造成嚴(yán)重的影響，而且難以防禦和追查，本文簡(jiǎn)介 DDoS，並對(duì)遭遇攻擊
時(shí)的應(yīng)變和預(yù)防方法提出建議，期能增進(jìn)大家對(duì)此議題的重視和了解並降低 DDoS所造成的
傷害。

一、阻斷服務(wù)（Denial of Service）

在探討 DDoS 之前我們需要先對(duì) DoS 有所了解，DoS泛指駭客試圖妨礙正常使用者使
用網(wǎng)路上的服務(wù)，例如剪斷大樓的電話線路造成用戶(hù)無(wú)法通話。而以網(wǎng)路來(lái)說(shuō)，由於頻寬
、網(wǎng)路設(shè)備和伺服器主機(jī)等處理的能力都有其限制，因此當(dāng)駭客產(chǎn)生過(guò)量的網(wǎng)路封包使得
設(shè)備處理不及，即可讓正常的使用者無(wú)法正常使用該服務(wù)。例如駭客試圖用大量封包攻擊
一般頻寬相對(duì)小得多的撥接或 ADSL 使用者，則受害者就會(huì)發(fā)現(xiàn)他要連的網(wǎng)站連不上或是
反應(yīng)十分緩慢。

DoS 攻擊並非入侵主機(jī)也不能竊取機(jī)器上的資料，但是一樣會(huì)造成攻擊目標(biāo)的傷害，
如果攻擊目標(biāo)是個(gè)電子商務(wù)網(wǎng)站就會(huì)造成顧客無(wú)法到該網(wǎng)站購(gòu)物。

二、分散式阻斷服務(wù)（Distributed Denial of Service）

DDoS 則是 DoS 的特例，駭客利用多臺(tái)機(jī)器同時(shí)攻擊來(lái)達(dá)到妨礙正常使用者使用服務(wù)
的目的。駭客預(yù)先入侵大量主機(jī)以後，在被害主機(jī)上安裝 DDoS 攻擊程式控制被害主機(jī)對(duì)
攻擊目標(biāo)展開(kāi)攻擊；有些 DDoS 工具採(cǎi)用多層次的架構(gòu)，甚至可以一次控制高達(dá)上千臺(tái)電
腦展開(kāi)攻擊，利用這樣的方式可以有效產(chǎn)生極大的網(wǎng)路流量以癱瘓攻擊目標(biāo)。早在2000年
就發(fā)生過(guò)針對(duì)Yahoo, eBay, Buy.com 和 CNN 等知名網(wǎng)站的DDoS攻擊，阻止了合法的網(wǎng)路
流量長(zhǎng)達(dá)數(shù)個(gè)小時(shí)。

DDoS 攻擊程式的分類(lèi)，可以依照幾種方式分類(lèi)，以自動(dòng)化程度可分為手動(dòng)、半自動(dòng)與
自動(dòng)攻擊。早期的 DDoS 攻擊程式多半屬於手動(dòng)攻擊，駭客手動(dòng)尋找可入侵的電腦入侵並
植入攻擊程式，再下指令攻擊目標(biāo)；半自動(dòng)的攻擊程式則多半具有 handler 控制攻擊用的
agent 程式，駭客散佈自動(dòng)化的入侵工具植入 agent 程式，然後使用 handler 控制所有
agents 對(duì)目標(biāo)發(fā)動(dòng) DDoS 攻擊；自動(dòng)攻擊更進(jìn)一步自動(dòng)化整個(gè)攻擊程序，將攻擊的目標(biāo)、
時(shí)間和方式都事先寫(xiě)在攻擊程式裡，駭客散佈攻擊程式以後就會(huì)自動(dòng)掃描可入侵的主機(jī)植
入 agent 並在預(yù)定的時(shí)間對(duì)指定目標(biāo)發(fā)起攻擊，例如近期的 W32/Blaster 網(wǎng)蟲(chóng)即屬於此
類(lèi)。

若以攻擊的弱點(diǎn)分類(lèi)則可以分為協(xié)定攻擊和暴力攻擊兩種。協(xié)定攻擊是指駭客利用某
個(gè)網(wǎng)路協(xié)定設(shè)計(jì)上的弱點(diǎn)或執(zhí)行上的 bug 消耗大量資源，例如 TCP SYN 攻擊、對(duì)認(rèn)證伺
服器的攻擊等；暴力攻擊則是駭客使用大量正常的連線消耗被害目標(biāo)的資源，由於駭客會(huì)
準(zhǔn)備多臺(tái)主機(jī)發(fā)起 DDoS 攻擊目標(biāo)，只要單位時(shí)間內(nèi)攻擊方發(fā)出的網(wǎng)路流量高於目標(biāo)所能
處理速度，即可消耗掉目標(biāo)的處理能力而使得正常的使用者無(wú)法使用服務(wù)。

若以攻擊頻率區(qū)分則可分成持續(xù)攻擊和變動(dòng)頻率攻擊兩種。持續(xù)攻擊是當(dāng)攻擊指令下
達(dá)以後，攻擊主機(jī)就全力持續(xù)攻擊，因此會(huì)瞬間產(chǎn)生大量流量阻斷目標(biāo)的服務(wù)，也因此很
容易被偵測(cè)到；變動(dòng)頻率攻擊則較為謹(jǐn)慎，攻擊的頻率可能從慢速漸漸增加或頻率高低變
化，利用這樣的方式延緩攻擊被偵測(cè)的時(shí)間。

三、從 DDoS 攻擊下存活

那麼當(dāng)遭受 DDoS 攻擊的時(shí)候要如何設(shè)法存活並繼續(xù)提供正常服務(wù)呢？由先前的介紹
可以知道，若駭客攻擊規(guī)模遠(yuǎn)高於你的網(wǎng)路頻寬、設(shè)備或主機(jī)所能處理的能力，其實(shí)是很
難以抵抗攻擊的，但仍然有一些方法可以減輕攻擊所造成的影響。

首先是調(diào)查攻擊來(lái)源，由於駭客經(jīng)由入侵機(jī)器進(jìn)行攻擊，因此你可能無(wú)法查出駭客是
由哪裡發(fā)動(dòng)攻擊，我們必須一步一步從被攻擊目標(biāo)往回推，先調(diào)查攻擊是由管轄網(wǎng)路的哪
些邊界路由器進(jìn)來(lái)，上一步是外界哪臺(tái)路由器，連絡(luò)這些路由器的管理者（可能是某個(gè)ISP
或電信公司）並尋求他們協(xié)助阻擋或查出攻擊來(lái)源，而在他們處理之前可以進(jìn)行哪些處理
呢?

如果被攻擊的目標(biāo)只是單一 ip，那麼試圖改個(gè) ip 並更改其 DNS mapping 或許可以
避開(kāi)攻擊，這是最快速而有效的方式；但是攻擊的目的就是要使正常使用者無(wú)法使用服務(wù)
，更改ip的方式雖然避開(kāi)攻擊，以另一角度來(lái)看駭客也達(dá)到了他的目的。此外，如果攻擊
的手法較為單純，可以由產(chǎn)生的流量找出其規(guī)則，那麼利用路由器的 ACLs
（Access Control Lists）或防火牆規(guī)則也許可以阻擋，若可以發(fā)現(xiàn)流量都是來(lái)自同一來(lái)
源或核心路由器，可以考慮暫時(shí)將那邊的流量擋起來(lái)，當(dāng)然這還是有可能將正常和異常的
流量都一併擋掉，但至少其他來(lái)源可以得到正常的服務(wù)，這有時(shí)是不得已的犧牲。如果行
有餘力，則可以考慮增加機(jī)器或頻寬作為被攻擊的緩衝之用，但這只是治標(biāo)不治本的做法
。最重要的是必須立即著手調(diào)查並與相關(guān)單位協(xié)調(diào)解決。

四、預(yù)防DDoS攻擊

DDoS 必須透過(guò)網(wǎng)路上各個(gè)團(tuán)體和使用者的共同合作，制定更嚴(yán)格的網(wǎng)路標(biāo)準(zhǔn)來(lái)解決。
每臺(tái)網(wǎng)路設(shè)備或主機(jī)都需要隨時(shí)更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和
防火牆軟體、隨時(shí)注意系統(tǒng)安全，避免被駭客和自動(dòng)化的 DDoS 程式植入攻擊程式，以免
成為駭客攻擊的幫兇。

有些 DDoS 會(huì)偽裝攻擊來(lái)源，假造封包的來(lái)源 ip，使人難以追查，這個(gè)部份可以透過(guò)
設(shè)定路由器的過(guò)濾功能來(lái)防止，只要網(wǎng)域內(nèi)的封包來(lái)源是其網(wǎng)域以外的 ip，就應(yīng)該直接丟
棄此封包而不應(yīng)該再送出去，如果網(wǎng)管設(shè)備都支援這項(xiàng)功能，網(wǎng)管人員都能夠正確設(shè)定過(guò)
濾掉假造的封包，也可以大量減少調(diào)查和追蹤的時(shí)間。

網(wǎng)域之間保持聯(lián)絡(luò)是很重要的，如此才能有效早期預(yù)警和防治 DDoS 攻擊，有些 ISP
會(huì)在一些網(wǎng)路節(jié)點(diǎn)上放置感應(yīng)器偵測(cè)突然的巨大流量，以提早警告和隔絕 DDoS 的受害區(qū)
域，降低顧客的受害程度。

資訊安全 門(mén)禁工程 CCTV監(jiān)控工程 網(wǎng)路工程 PLC自動(dòng)控制 門(mén)禁系統(tǒng) 監(jiān)控系統(tǒng) 系統(tǒng)整合 系統(tǒng)規(guī)劃 系統(tǒng)開(kāi)發(fā) OPC專(zhuān)案

統(tǒng)一編號(hào):29039341 TEL:02-8923-1698 FAX:02-8923-1328 電子郵件:service@hsienyang.com

亚洲无码?一级片_аⅴ资源中文在线天堂_欧洲mv亚洲mv永久入口免费_婷婷五月开心激情_免费超爽大黄在线观看_国产无码午夜不卡_午夜福利视频不卡a_A午夜福利A福利_黄色激情小说另类av_国产尤物精品193