企业服务器防DDOS攻击技术攻略(图)

标签：服务器故障解决,http://www.5idzw.com 企业服务器防DDOS攻击技术攻略(图),http://www.5idzw.com
企业在网络中不仅要面对病毒木马的袭击，还要面临网络中各种各样的攻击。其中危害最大的莫过于DDOS攻击，对于此类攻击很多企业是束手无策，有的只依赖于硬件防DDOS防火墙来抵挡强大的攻击。但是据一个企业网管多年的抗战经验来说：硬件和策略结合之道才能让DDOS攻击由强变弱。

DDOS 攻击原理

知已知彼方能百战百胜，在谈如何防止DDOS之前，有必要先了解一下DDOS是如何实现强化攻击的。DDOS攻击就是利用计算机中的协议漏洞，模拟正常的数据流向目标机发送大量数据包，造成三次握手多队列等待，让目标计算机处在一种处理再处理状态，随着来访的数据包越来越多，目标机的处理队列越排越长，最终死机崩溃。而这些数据包的形成，则不是一台两台计算机能够完成的。那么攻击者是如何组建庞大的计算机群集来对目标发动大规模的攻击呢?

对于一个黑客高手来说，在网络中抓肉鸡那是相当简单的。通常方法为：通过计算机的漏洞利用工具进行大范围的扫描入侵，一但入侵成功后，黑客会在计算机中种下后门木马并通过控制木马上传一个DDOS攻击软件到计算机中，此时一台肉鸡形成。黑客找肉鸡下木马的软件效率十分惊人，利如NB自扫描种植软件一天内能描上千台肉鸡。将这些肉鸡集中起来，统一控制即形成庞大的僵尸网络。如果此些肉鸡在同一时间内通过DDOS软件对某台目标机一起发起数据包访问，那么即形成可怕的DDOS攻击流，由于这些数据包来自网络各地，因此从根本上来讲很难预防。

从攻击目标上看，很多 DDoS 攻击的目的让网络应用负载过大。只要网络中的应用服务器存在漏洞，很有可能成为黑客构建僵尸网络的傀儡机，如有利可图，还有可能成为 DDoS 攻击目标，以求从中获利，形成黑客产业链。


　　图一

DDOS 硬件防范

看完了DDOS的形成于攻击原理后，很多企业网络管理人员会感到DDOS太可怕了，想要防御根本无从下手，因为这些数据包传递的IP地址不是一个，而是成千上万个，如果单一的凭手工进行IP地址的数据包丢弃，那肯定是无法达到效果的。于是想到了硬件防范方法。


　　图二

目前通常的硬件防DDOS都从理论上能达到抗DDOS的目的，其原理大多数都是对数据包采用核心算法，精确算出数据包的危害性，有效防止连接耗尽，主动清除服务器上的残余连接。不过当企业网络受到大于自身网络宽数倍的网络数据包请求时，硬件防DDOS也显得心有余而力不足了。

，企业服务器防DDOS攻击技术攻略(图)