文档介绍:: .
简述:DDOS分布式拒绝效劳)攻防实战演练
用户对于这个话题似乎已经不再陌生,在当今的网络当中用
****网站的IP。
二、攻击目标
利用我们的xdos对此网站进行攻击,此软件的使用格式是xdosip端口-t次数-s*,这里给用户解释下,ip为用户需要攻击的ip,端口为需要攻击的端口,这里是攻击Web效
劳,因此这里用80端口,-1后面跟的是攻击次数,一般5-10就可以了,-s为随机伪造攻击ip,完整的命令如下:
-t5-s*
出现如下列图示那么说明攻击正在进行
稍后用户再看看被攻击的网站,如下列图所示
站点已经显示连接用户过多禁止访问了,这就是说明攻击成功了。
小提示:现在的DDO畋击中主要有以下三种DDO畋击技术:
2. TCP全连接攻击
3. 刷Script脚本攻击
三、防范方法
以上给用户讲解了不少关于DDO畋击技术的资料,那用户该如何防范DDO畋击,使自己在DDO敏击中的损失减至最低呢?首先用户应明确一个问题,那就是DDO激击是不可能完全杜绝的,只能将攻击强度减至最低,也不能单单通过某些平安产品就可以防范DDOS攻击的,用户需要从多个方面做出防范措施,才能够最大程度的抵御DDO畋击,以下是多年抵御DDO敏击的前辈所总结出来的十分有效的措施:
采用高性能的网络设备:首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假设和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDO畋击是非常有效的。
尽量防止NAT的使用:无论是路由器还是硬件防护墙设备要尽量防止采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好方法了。
充足的网络带宽保证:网络带宽直接决定了能抗受攻击的能力,假假设仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,假设把它接在100M的交换机上,它的实际带宽不会超过100M再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络效劳商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
升级主机效劳器硬件:在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,效劳器的配置至少应该为:-HD,起关键作用的主要是CPUW内存,假设有志强双CPU的话就用它吧,内存一定要选择DDR勺高速内存,硬盘要尽量选择SCSI的,另U只贪IDE价格不贵量还足的廉价,否那么会付出高昂的性能代价,再就是网卡一定要选用3CO瞰Intel等名牌的,假设是Realtek的还是用在自己