主流的服務器攻擊方式有多種手段,但是唯獨DDoS攻擊、CC攻擊以及ARP欺騙,這些攻擊方式被稱為三大攻擊手段,不僅可以致使服務器癱瘓,而且還很無解。
DDoS無情也無解
DDoS攻擊全名叫做分布式拒絕服務(DDoS:Distributed Denial of Service),攻擊者往往將多個計算機平臺聯合起來對同一個目標或者多個目標進行攻擊,攻擊所造成的后果也因此而嚴重程度不同。
DDoS攻擊出現至今已將近三十年,可是至今依然未能出現有效的應對手段。今年里約奧運會期間,DDoS攻擊再次大行其道。全球攻擊峰值達到了今年的最高值,可見只是一種人來瘋而且還不怕見光的攻擊手段。
DDoS攻擊無解無情
那么DDoS攻擊為何如此無解呢?因為DDoS攻擊常常會采用通過大量合法的請求的手段占用服務器網絡資源,由此而達到癱瘓網絡的目的。服務器在面對DDoS攻擊時很難合理的判定和區分請求,因此遭受攻擊時往往束手無策,只能等待攻擊者停止攻擊。
CC攻擊(Challenge Collapsar)不遜色
CC攻擊相比DDoS攻擊也并不遜色。本質上來看,二者屬于同一類攻擊,均是要借助代理服務器生成指向受害主機的合法請求。但不同的是,DDoS攻擊通常針對平臺以及網站發送大量數據包造成目標癱瘓,而CC攻擊則更傾向于攻擊頁面。
那么是否CC攻擊要比DDoS攻擊影響小呢?并非這樣,CC攻擊IP及流量,隱藏性都非常強,這種攻擊手段是很多論壇用戶常見的一種,是目前十分主流的一種服務器攻擊方式。
ARP欺騙則和上述兩種有著本質的區別
ARP(Address Resolution Protocol)欺騙通俗來講便是將IP地址轉化成物理地址的協議。其一般會有兩種出現方式,一種為對路由器ARP表的欺騙;另一種是對內網PC的網關欺騙。
這兩種欺騙都會引起十分嚴重的后果,對路由器的欺騙可能會導致相關網關數據被截獲,黑客制造路由器錯誤的內網Mac地址,使得真實信息無法保存于路由器之中。而對PC的網關欺騙則是通過偽造網關,欺騙PC向假的網關發送數據。
而這三種攻擊方式之所以會被認為是三大攻擊方式的原因,只因為他們有一個共同點,那就是無法防御。
不能防御但能減輕
三大攻擊無解,但是我們卻看到了這些攻擊手段并沒有讓我們的互聯網時代癱瘓,也沒有泛濫成災。這是因為這些攻擊手段雖然無法防御,卻可以通過有效的手段來減輕攻擊造成的損害,降低被攻擊的概率。
幾種防御殺手方法
DDoS攻擊由于其普遍性和臭名昭著,幾乎目前所有的計算機都已經對其有所防范。防火墻就是防范DDoS攻擊的一大利器。網關防火墻和路由防火墻應對不同類型的DDoS攻擊均可起到一定的作用。
無解,那就減輕災害
而次外,采用CDN加速,把這些攻擊分散到鏡像服務器上,降低對服務器影響也是一種不錯的應對方法。
而如果企業飽受DDoS攻擊困擾,那就只能采用最有效也是最貴的流量清洗了。部署專業的設備和方案,對數據流量實時監控,清洗掉異常的流量。同時,增加帶寬,企業核心業務云化也是一種應對手段。
而CC攻擊由于更針對網頁,取消域名綁定是一種不錯的方式。但是這種方法治標不治本,很可能引發CC攻擊對新域名的新一輪轟炸。
以靜制動
再者,采用靜態頁面可以增加攻擊時間,降低攻擊頻率,減緩問題。而禁用網站代理訪問雖然會給用戶造成一定困擾,可是也是防御DDoS和CC攻擊都很可靠的方式。限制連接數量,修改最大超時時間等,均可以對分布式攻擊的癥狀有所緩解。
但是,CC攻擊是技術性比較強的一種攻擊,一般的防御手段雖然可以應付。可是如果其采用大流量攻擊,那么除了增加帶寬等砸錢的辦法,企業也基本上束手無策。因此,采用云化的方式也正在被開發用以對付分布式攻擊。
而ARP欺騙需要ARP病毒的幫助,因此,一款良好的殺毒軟件可以讓用戶事半功倍。但是如果僅僅是殺毒還是治標不治本,尋找正確的方式找到ARP病毒源,進行相應的查殺才能有所改觀。
技術應對危機,殺手不再冷漠
再者,由于ARP攻擊手段主要采用了偽裝IP地址和MAC地址的方式對用戶進行錯誤的誘導,因此,綁定IP及MAC地址也可以有良好的效果。
結束語
三大攻擊手段雖然無法徹底根除,但是其并不足以讓我們對互聯網安全失去信心。采用正確的防范手段,針對性的進行防御,便可以成功降低其對用戶的危害。同時,由于云計算的崛起,當今互聯網企業云遷移也是解決此類問題的良方之一。而隨著云技術更深層次的發展,也相信這些頑固舊疾終有一天在云被處決。
京公網安備 11010502049343號