如何防护ddos攻击

DDOS全称Distributed Denial of Service,中文叫做“分布式拒绝服务”,就是利用大量合法的分布式服务器对目标发送请求,从而导致正常合法用户无法获得服务。DDOS会耗尽网络服务的资源,使服务器失去响应,为实施下一步网络攻击来做准备。比如用KaLi_Linux的hping3就可以很容易的实现DDOS攻击。

1. DDOS攻击的具体步骤

如图,未受攻击时,netstat -nat可以查看到只有少量的网络链接。

如何防护ddos攻击" src="https://www.52pchome.cn/wp-content/uploads/2020/12/20201207_5fcdfea0c84d1.jpg" sizes="(max-width: 600px) 100vw, 600px" srcset="https://www.adminn.cn/wp-content/uploads/2019/12/600-21.jpg 600w, https://www.adminn.cn/wp-content/uploads/2019/12/600-21-300x164.jpg 300w" alt6="如何防护ddos攻击" alt="如何防护ddos攻击" />

用KaLi Linux的hping3进行SYN Flood攻击。修改参数还可以进行UDP Flood和ICMP Flood攻击。

主机上用netstat查看,可以看到大量的SYN RECV状态的连接,CPU耗用也很高。由于来源IP地址都是伪造的,而TCP SYN的超时时间至少需要30秒。这样就可以消耗服务器的大量端口和网络资源。

如何防护ddos攻击
如何防护ddos攻击
如何防护ddos攻击

2. 如何防护DDOS攻击?

DDOS必须在网络边缘处进行防护,大部分的防火墙都有类似的功能。以WSG上网行为管理网关为例,开启“DDOS防护”即可进行有效的阻挡。如图:

如何防护ddos攻击

开启DDOS防护后,SYN RECV的连接数大大减少,CPU的占用也少很多。

如何防护ddos攻击
如何防护ddos攻击
如何防护ddos攻击

在WSG的“DDOS防护”中还可以看到防护的状态统计。

声明: 1、本博客不从事任何主机及服务器租赁业务,不参与任何交易,也绝非中介。博客内容仅记录博主个人感兴趣的服务器测评结果及一些服务器相关的优惠活动,信息均摘自网络或来自服务商主动提供;所以对本博客提及的内容不作直接、间接、法定、约定的保证,博客内容也不具备任何参考价值及引导作用,访问者需自行甄别。 2、访问本博客请务必遵守有关互联网的相关法律、规定与规则;不能利用本博客所提及的内容从事任何违法、违规操作;否则造成的一切后果由访问者自行承担。 3、未成年人及不能独立承担法律责任的个人及群体请勿访问本博客。 4、一旦您访问本博客,即表示您已经知晓并接受了以上声明通告。:吾爱主机之家 » 如何防护ddos攻击