DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为网络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。
DoS/DDoS主要采用的是SYNFLOOD及其变种的攻击,现在新的比如CC的攻击也属于这个范畴但是CC更智能一些,它用的是多次读取同一个服务器存在的文件的方式,现有的DoS/DDoS防火墙和防火墙软件都是采用的防止SYN以及FLOOD的攻击没有做重复包的检测,所以导致了大多数防火墙对CC造成的DoS/DDoS攻击没效果;防火墙是基于内核的网桥式重复包检测、SYNFLOOD过滤、ARP过滤,这样即便你是伪造的包,但是因为防火墙没这个存在的ARP地址而导致这个是一个不合法的包从而被防火墙过滤掉,如果一个数据包想通过这个防火墙就必须符合以下的特点,一是已经存在的ARP这个可以被验证是正确的ARP,二是这个数据包不是重复的包(200NS以内),三是这个连接地址是存在的,四这个数据包的状态是持续的连接,如果不是持续的连接一样被过滤掉。
DoS/DDoS现在比较流行的一种方式是CC攻击及CC变种攻击,攻击7000.7100端口,这往往发生在网络游戏服务器上,导致玩家进入游戏界面选择和建立不了人物。其基本原理是:攻击发起主机(attackerhost)多次通过网络中的HTTP代理服务器(HTTPproxy)向目标主机(targethost)上开销比较大的CGI页面发起HTTP请求造成目标主机拒绝服务(Denialof Service)。这是一种很聪明的分布式拒绝服务攻击(DistributedDenial of Service)与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机,代理服务器充当了这个角色。
那么,机房采用的硬件防火墙能不能很好的防御DoS/DDoS攻击呢?
要研究这个问题,还是先来看看国内的机房都采用哪些硬件防火墙:其实目前国内抗DoS/DDoS防火墙比较知名的,同时信誉度和使用效果也比较好的应该是黑洞、金盾和Dosnipe的产品。一些其他的所谓“XX盾DoS/DDoS防火墙”多半是抄袭篡改或者完全就是没有实际效果的东西。
| 欢迎光临 得知互动 (https://bbs.dezhifl.com/) | Powered by Discuz! X3.4 |