文章目录
关于DOS攻击相关攻击案例如何防御
关于DOS攻击
DOS攻击也叫做拒绝服务攻击其原理是 模拟正常用户访问,但访问量巨大大量占用服务器资源,服务器负载和网络带宽等资源总是有限的当攻击发生的时候,服务器就会影响正常用户的访问,就无法为其提供服务在用户看来是服务器的服务挂了,其实是服务器在应付攻击者发来的巨量请求 其类型有 1 ) 根据TCP协议的半连接:TCP半连接正常是三次握手,攻击者只发起一次,服务器只能被迫等待攻击者的下次连接当攻击发生时,服务器产生了很多半连接来占用资源2 ) HTTP连接, 看起来就是一个正常的请求,它真的是在请求你的服务但是你服务的容量是有限的,无法应付过多的请求3 ) DNS攻击,如果服务器防御能力很强,能把很多非法的请求拒之门外那么攻击者可能会转而攻击你的DNS域名解析服务器,一般DNS访问负载很小一般而言访问负载不会那么的大,攻击DNS是非常有效的攻击手段 在DOS的基础上还会有一种攻击叫做DDOS 大规模分布式拒绝服务攻击DOS一般会只有少量几台机器发起攻击DDOS可能会有大量的机器进行攻击,其流量可达几十到上百G 这些流量是分布的,通过肉鸡和代理极难防御,无法分辨哪些是正常流量哪些是攻击流量如果通过一些特别高级的知识来区分,但是也没有有效防御的手段
相关攻击案例
游戏上架前受到大规模攻击,游戏私服互相DDOS攻击攻击不下来,改换成攻击DNS服务器,导致DNS服务器下线 数十万网站DNS解析瘫痪,因为很难响应,一些软件后台疯狂断网重连进行中为DNS更添加了一些流量,雪上加霜,导致国内多省断网 这是一件非常恶性的事件
如何防御
其实防御难度极大,但仍旧可以做一些事情,比如 硬件防火墙,尝试过滤一些流量交换机和路由器相应的流量过滤机制流量清洗:笼统说法,包括防火墙和路由器,交换机都可能会做 具体是进行流量分析,找到特征分别攻击流量和正常流量 高防IP(商业服务): 云服务厂商提供的服务 当受到攻击的时候,它会给你一个ip,让你的域名指向这个ip用户和攻击者都会访问这个ip, 这个ip后面对应的是大规模的流量清洗服务会把攻击流量拦截留下正常的流量,同时云服务厂商提供非常大的带宽这样更能应对DDOS攻击 其实这些防御办法都是有限的防御方案,在开发的时候我们也应该进行预防 1 ) 重视轻逻辑和拆分重逻辑服务器的承载能力越高,能够承受的攻击也就越大这样,我们可以在开发的时候避免重逻辑的业务也就是,当用户访问的时候应该能够快速完成这个逻辑当逻辑做到足够轻的时候,能够承载的访问能力也就越大,被攻陷可能性就会小很多如果存在一些耗时严重的逻辑,可以把业务拆分,通过排队机制来处理,常见的是使用异步框架2 ) 当遇到失败的情况时,应该快速失败,快速返回,减少重试的次数因为负载越高的时候,加大尝试次数,就越有可能导致失败3 ) 防雪崩的机制比如重试越多,失败越多,这样只能恶性循环从机制上来说就是,快速失败,快速返回清楚了解系统的负载,当请求数快要达到极限的时候,就要拦截一些请求,就不会崩掉4 ) 有损服务允许业务不正常,允许不完美,当一个服务崩掉不影响其他服务5 ) 通过CDN服务将一些静态的文件分发到CDN上去,减少服务器负载对动态请求,CDN表现还不是很理想,如果有的话,尽可能使用CDN服务
