3033 
2023-06-18 09:44:01 被DDOS攻擊會怎么樣?DDoS攻擊可以造成服務(wù)器性能嚴(yán)重下降或者系統(tǒng)崩潰,DDoS攻擊會讓受害網(wǎng)絡(luò)與系統(tǒng)陷于癱瘓狀態(tài),無法正常工作和提供服務(wù)。所以對于企業(yè)來說ddos攻擊的危害是很大的,怎么抵御DDOS就成為大家研究和關(guān)注的話題。
被DDOS攻擊會怎么樣
DDOS的表現(xiàn)形式主要有兩種,一種為流量攻擊,主要是針對網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對服務(wù)器主機的攻擊,即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。
如何判斷網(wǎng)站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重(假定平時是正常的),則可能遭受了流量攻擊,此時若發(fā)現(xiàn)和你的主機接在同一交換機上的服務(wù)器也訪問不了了,基本可以確定是遭受了流量攻擊。當(dāng)然,這樣測試的前提是你到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽,否則可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的,突然都Ping不通了或者是嚴(yán)重丟包,那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現(xiàn)象是,一旦遭受流量攻擊,會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務(wù)器會失敗。
相對于流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的,發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是,Ping自己的網(wǎng)站主機Ping不通或者是丟包嚴(yán)重,而Ping與自己的主機在同一交換機上的服務(wù)器則正常,造成這種原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
①業(yè)務(wù)受損:如果服務(wù)器因DDoS攻擊造成無法訪問,會導(dǎo)致客流量的嚴(yán)重流失,進而對整個平臺和企業(yè)的業(yè)務(wù)造成嚴(yán)重影響。如游戲平臺、在線教育、電商平臺、金融行業(yè)等需要業(yè)務(wù)驅(qū)動的網(wǎng)站,受DDoS攻擊影響最大。
②形象受損:服務(wù)器無法訪問會導(dǎo)致用戶體驗下降、用戶投訴增多等問題,不但會影響潛在客戶的轉(zhuǎn)化率和成交率,現(xiàn)有用戶也會對企業(yè)的安全性和穩(wěn)定性進行重新評估,企業(yè)的品牌形象和市場聲譽將受到嚴(yán)重影響。
③數(shù)據(jù)泄露:如今使用DDoS作為其他網(wǎng)絡(luò)犯罪活動掩護的情況越來越多,當(dāng)網(wǎng)站被打到快癱瘓時,維護人員的全部精力都在抗DDoS上面,攻擊者竊取數(shù)據(jù)、感染病毒、惡意欺騙等犯罪活動更容易得手。
怎么抵御DDOS?
對付DDOS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當(dāng)?shù)霓k法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊。以下幾點是防御DDOS攻擊幾點:
1、采用高性能的網(wǎng)絡(luò)設(shè)備
首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力,其實原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強雙CPU的話就用它吧,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
以上就是關(guān)于被DDOS攻擊會怎么樣的相關(guān)解答,DDoS 攻擊最明顯的癥狀之一是網(wǎng)站或網(wǎng)絡(luò)性能顯著下降,有時候甚至是無法正常工作和提供服務(wù)。DDoS 攻擊可能會暴露目標(biāo)系統(tǒng)的薄弱點,為進一步的攻擊提供可乘之機。
