新睿云

> 知识库 > 全网最全的网站攻击手段科普,我们应该如何防御?——DDoS与DNS劫持完结篇

全网最全的网站攻击手段科普,我们应该如何防御?——DDoS与DNS劫持完结篇

作者/来源:新睿云小编 发布时间:2019-10-09

一、DDoS 攻击

DDoS 又叫分布式拒绝服务,全称 Distributed Denial of Service,其原理就是利用大量的请求造成资源过载,导致服务不可用,这个攻击应该不能算是安全问题,这应该算是一个另类的存在,因为这种攻击根本就是耍流氓的存在,「伤敌一千,自损八百」的行为。出于保护 Web App 不受攻击的攻防角度,还是介绍一下 DDoS 攻击吧,毕竟也是挺常见的。想了解更多请参考《DDOS流量攻击有多疯狂?一起来看看这些案例吧!

全网最全的网站攻击手段科普,我们应该如何防御?——XSS篇

全网最全的网站攻击手段科普,我们应该如何防御?——CSRF篇

全网最全的网站攻击手段科普,我们应该如何防御?——SQL注入篇

全网最全的网站攻击手段科普,我们应该如何防御?——DDoS与DNS劫持完结篇

DDoS

DDoS 攻击可以理解为:「你开了一家店,隔壁家点看不惯,就雇了一大堆黑社会人员进你店里干坐着,也不消费,其他客人也进不来,导致你营业惨淡」。为啥说 DDoS 是个「伤敌一千,自损八百」的行为呢?毕竟隔壁店还是花了不少钱雇黑社会但是啥也没得到不是?DDoS 攻击的目的基本上就以下几个:

深仇大恨,就是要干死你

敲诈你,不给钱就干你

忽悠你,不买我防火墙服务就会有“人”继续干你

也许你的站点遭受过 DDoS 攻击,具体什么原因怎么解读见仁见智。DDos 攻击从层次上可分为网络层攻击与应用层攻击,从攻击手法上可分为快型流量攻击与慢型流量攻击,但其原理都是造成资源过载,导致服务不可用。

二、防止DDoS

1.网络层 DDoS 防御

网络层的 DDoS 攻击究其本质其实是无法防御的,我们能做得就是不断优化服务本身部署的网络架构,以及提升网络带宽。当然,还是做好以下几件事也是有助于缓解网络层 DDoS 攻击的冲击:

网络架构上做好优化,采用负载均衡分流。

确保服务器的系统文件是最新的版本,并及时更新系统补丁。

添加抗 DDos 设备,进行流量清洗。

限制同时打开的 SYN 半连接数目,缩短 SYN 半连接的 Timeout 时间。

限制单 IP 请求频率。

防火墙等防护设置禁止 ICMP 包等。

严格限制对外开放的服务器的向外访问。

运行端口映射程序或端口扫描程序,要认真检查特权端口和非特权端口。

关闭不必要的服务。

认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。

加钱堆机器。。

报警。。

2.应用层 DDoS 防御

判断 User-Agent 字段(不可靠,因为可以随意构造)

针对 IP + cookie,限制访问频率(由于 cookie 可以更改,IP 可以使用代理,或者肉鸡,也不可靠)

关闭服务器最大连接数等,合理配置中间件,缓解 DDoS 攻击。

请求中添加验证码,比如请求中有数据库操作的时候。

编写代码时,尽量实现优化,并合理使用缓存技术,减少数据库的读取操作。

加钱堆机器。。

报警。。

不想费心费力直接上新睿云高防IP……

三、DNS 劫持

DNS 劫持,也叫做域名劫持,可以这么理解,「你打了一辆车想去商场吃饭,结果你打的车是小作坊派来的,直接给你拉到小作坊去了」,DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址,以便计算机能够进一步通信,传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候,被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP,用户就被劫持到了恶意钓鱼站点,然后继而会被钓鱼输入各种账号密码信息,泄漏隐私。

DNS劫持

这类劫持,要不就是网络运营商搞的鬼,一般小的网络运营商与黑产勾结会劫持 DNS,要不就是电脑中毒,被恶意篡改了路由器的 DNS 配置,基本上做为开发者或站长却是很难察觉的,除非有用户反馈,现在升级版的 DNS 劫持还可以对特定用户、特定区域等使用了用户画像进行筛选用户劫持的办法,另外这类广告显示更加随机更小,一般站长除非用户投诉否则很难觉察到,就算觉察到了取证举报更难。无论如何,如果接到有 DNS 劫持的反馈,一定要做好以下几件事:

取证很重要,时间、地点、IP、拨号账户、截屏、URL 地址等一定要有。

可以跟劫持区域的电信运营商进行投诉反馈。

如果投诉反馈无效,直接去工信部投诉,一般来说会加白你的域名。

HTTP 劫持

HTTP 劫持您可以这么理解,「你打了一辆车想去商场吃饭,结果司机跟你一路给你递小作坊的广告」,HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络,而不法运营商和黑产勾结能够截获 HTTP 请求返回内容,并且能够篡改内容,然后再返回给用户,从而实现劫持页面,轻则插入小广告,重则直接篡改成钓鱼网站页面骗用户隐私。能够实施流量劫持的根本原因,是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题,则流量劫持将无法轻易发生。所以防止 HTTP 劫持的方法只有将内容加密,让劫持者无法破解篡改,这样就可以防止 HTTP 劫持了。

HTTPS 协议就是一种基于 SSL 协议的安全加密网络应用层协议,可以很好的防止 HTTP 劫持。HTTPS 在这就不深讲了,后面有机会我会单独好好讲讲 HTTPS。如果不想站点被 HTTP 劫持,赶紧将你的站点全站改造成 HTTPS 吧。

热门标签
new year
  在线咨询
资讯热线
400-0505-565
投诉与建议
{{item.description}}

—您的烦恼我们已经收到—

我们会将处理结果发送至您的手机

请耐心等待