愛去小說網更新時間:2012-5-2718:06:55本章字數:3757
屏蔽了國外的百分之八十ip請求後,星空官網的速度一下子上來了,服務器cpu使用率也降迴到了低點。.
機房裏所有人都鬆了一口氣,但沈斌卻依舊是一副凝重的表情。屏蔽ip固然是可以抵一時風雨,但絕不是長久之計。對方這時主要用的是國外的肉雞,但萬一他將國內的肉雞運用起來呢,難道再將國內的ip也屏蔽掉?
那還不如直接將網站關閉!
ddos攻擊啊,真是令人傷腦筋的東西。
葉筱妖見服務器恢複了正常,機房裏總算不似剛才那般緊張了,她便扯了扯沈斌的衣服,小聲問道:“ddos攻擊到底是怎麽迴事啊?”
葉筱妖估計是整個公司裏的另類,也是唯一一個對電腦知識比較匱乏的人。她雖然也聽說過ddos的大名,卻始終不甚了解。隻當它是一種攻擊手段,遇到ddos了,趕緊跑就是了。現在自己加入了公司,也就是公司的一員,從前那種“敵來我逃”的策略已經不管用了。
所以她也就變得虛心好學起來。
對於葉筱妖的轉變,沈斌還是很欣慰的,至少這位大小姐終於開悟了,懂得學習新鮮知識了。這說明她真正將自己當作公司的一員,而不是那種玩票、求新鮮的性質。
他說道:“ddos攻擊是洪水攻擊的一種,攻擊發生時會產生大量的數據,就好似洪水泛濫一樣。具體來說,它是網絡泛洪中的一種,發生在osi模型的第三層和第四層。”
見葉筱妖好像有些聽不明白的樣子,他就細致道:“洪水攻擊的原理其實是利用了tcp協議的三次握手行為。”
“假設有兩台機器a和b。a使用tcp協議連接b,在建立連接之前,a先發一個icmp報文,也就是一個數據包給b,表示:‘我想與你聯係’,這是第一次握手;b在接收到這個數據包後,利用icmp報文中的源地址,也就是a的ip,也給a迴了一個icmp報文,說:‘真的嗎?’這是第二次握手;a接到b的icmp報文後,又給b發了一個icmp報文,‘當然是真的。’這是第三次握手。b如果成功接到這個報文後,雙方溝通完畢,b就正式和a建立tcp連接。”
而洪水攻擊,問題就出在第二次握手上。
如果是a的請求icmp發過去,那麽請
求裏的源地址應該是a的ip地址。但如果是一個非法的icmp報文的話,icmp的源地址可能並不是a的ip,也許就是一個並不存在的ip。如果是這樣,那在第二次握手時,b也就無法找到a了,這當然就不可能發生第三次握手。
這樣,b找不到a,而a又遲遲隻有過了10秒,b確認這些連接資源是不合理的,才會釋放掉這些資源。當然,如果是惡意攻擊的話,那麽a在下一個10秒還會發10000個連接包。
a不斷地發這樣數據包,就意味著b將永遠要維護這10000個連接,因此,b的cpu和內存將被耗盡,至少也得被占用大部分。所以b就無法響應其它機器的請求,或者是響應遲緩。
“這就好比是一個流氓給一個正經人寄了封信,讓他到馬上到某個地方見麵,發完就閃了,也不去約定的地方,而那個正經人卻傻乎乎真在那裏等著流氓。等了一天了,不見流氓來,正經人就迴家了。可第二天又收到流氓的信,於是又去等了。”
“一連幾天下來,正經人累壞了,自己的正常工作也因為去等流氓的緣故而沒有顧及上。”
“那不是太混蛋了嗎?”葉筱妖漂亮的眼睛瞪大了,原來洪水攻擊是這麽迴事,她總算有些明白了。
“小助手,有沒有辦法徹底解決洪水攻擊?”
有一句話說得好,有問題,找小汐,現在小汐不在了,找小助手也行。沈斌想了很久都沒有想出一個完美的解決方案來,於是就隻要求助小助手。
“方法是有的。傳承空間裏有完整的教程,不過這本來應該是宿主自己學習的內容。”
小助手語氣平淡。
沈斌眼睛一瞪,不悅道:“現在都什麽時候了還自己學習,非常時期就應該用非常手段,小助手你直接告訴我應該怎麽辦。”
小助手沉默了會,說道:“根據宿主所在文明的具體情況,係統推薦:采用分布式防禦機製。”
“具體的呢?”沈斌問。
“主要有兩種防禦。”小助手的聲音依舊跟從前一樣缺乏感情,不過沈斌現在卻覺得如聽仙樂一般,居然有兩種防禦方法。
“說說看!”他期待地道。
“第一種,可以建立節點信任機製。通過對節點進行計算,根據計算的結果,得出每個網絡節點的信譽值,從而生成信任表與不信任表。具體方法是,每一次數據交換時,首先對消息包的
來源節點進行信譽判斷,不信任的直接阻斷,信任的放行,進入下一層檢測。采用不信任節點黑名沈斌聽著覺得有道理,就點點頭道:“那下一步呢?”
“下一步就是第二種防禦策略,節點流量實時檢測過濾策略。”
“由於一些洪水消息包與正常消息包沒有本質的區別,所以可以對消息包來源節點和ttl進行組合判斷,建立起節點流量實時檢測過濾策略。當節點接收消息時,可以先不對消息進行轉發,而是先進行流量統計識別。當它在一段時間裏收到的某一鄰居節點消息超過預先設定值的時候,則判定消息來源於同一ttl半徑。若同時這一源節點持續發送消息數量達到事先設定的服務器資源的一個值,比如說20%時,就判定它具備ddos攻擊特征,為ddos攻擊包。即對該消息進行丟包策略處理。”
小助手不緊不慢地道。
沈斌一聽,眼睛立刻亮了起來。
所謂的丟包策略,就是說如果在一個時間段內判定這個節點有攻擊特征,則對消息包進行減半轉發。一般一個節點每分鍾產生的消息查詢數不會超過40,進行一次判定後,減半,就是說下次這個節點隻允許發送20個消息包給服務器。
如果還是發現有攻擊特征,則在原基礎上繼續減半,一直到這個節點隻允許發送一個消息包為止。同時將該節點填入不信任名單,若這個節點攻擊特征減緩或者恢複正常,則每次增加一個消息包的配額,直至恢複正常。
小助手給出的防禦策略實在是非常不錯,沈斌從前似乎也在計算機理論刊物上見到過這方麵的論述。隻是沒有小助手給的這麽具體。
看來小助手真的是從自己周圍的環境出發,沒有太過逾越的給出超越現有科技的技術。
方案是有了,接下來就是要具體的實施。
這不,沈斌又遇到麻煩了。
這該怎麽實施啊?
編寫一個小工具附加到硬件防火牆上?
沈斌一想,似乎可行的樣子。
屏蔽了國外的百分之八十ip請求後,星空官網的速度一下子上來了,服務器cpu使用率也降迴到了低點。.
機房裏所有人都鬆了一口氣,但沈斌卻依舊是一副凝重的表情。屏蔽ip固然是可以抵一時風雨,但絕不是長久之計。對方這時主要用的是國外的肉雞,但萬一他將國內的肉雞運用起來呢,難道再將國內的ip也屏蔽掉?
那還不如直接將網站關閉!
ddos攻擊啊,真是令人傷腦筋的東西。
葉筱妖見服務器恢複了正常,機房裏總算不似剛才那般緊張了,她便扯了扯沈斌的衣服,小聲問道:“ddos攻擊到底是怎麽迴事啊?”
葉筱妖估計是整個公司裏的另類,也是唯一一個對電腦知識比較匱乏的人。她雖然也聽說過ddos的大名,卻始終不甚了解。隻當它是一種攻擊手段,遇到ddos了,趕緊跑就是了。現在自己加入了公司,也就是公司的一員,從前那種“敵來我逃”的策略已經不管用了。
所以她也就變得虛心好學起來。
對於葉筱妖的轉變,沈斌還是很欣慰的,至少這位大小姐終於開悟了,懂得學習新鮮知識了。這說明她真正將自己當作公司的一員,而不是那種玩票、求新鮮的性質。
他說道:“ddos攻擊是洪水攻擊的一種,攻擊發生時會產生大量的數據,就好似洪水泛濫一樣。具體來說,它是網絡泛洪中的一種,發生在osi模型的第三層和第四層。”
見葉筱妖好像有些聽不明白的樣子,他就細致道:“洪水攻擊的原理其實是利用了tcp協議的三次握手行為。”
“假設有兩台機器a和b。a使用tcp協議連接b,在建立連接之前,a先發一個icmp報文,也就是一個數據包給b,表示:‘我想與你聯係’,這是第一次握手;b在接收到這個數據包後,利用icmp報文中的源地址,也就是a的ip,也給a迴了一個icmp報文,說:‘真的嗎?’這是第二次握手;a接到b的icmp報文後,又給b發了一個icmp報文,‘當然是真的。’這是第三次握手。b如果成功接到這個報文後,雙方溝通完畢,b就正式和a建立tcp連接。”
而洪水攻擊,問題就出在第二次握手上。
如果是a的請求icmp發過去,那麽請
求裏的源地址應該是a的ip地址。但如果是一個非法的icmp報文的話,icmp的源地址可能並不是a的ip,也許就是一個並不存在的ip。如果是這樣,那在第二次握手時,b也就無法找到a了,這當然就不可能發生第三次握手。
這樣,b找不到a,而a又遲遲隻有過了10秒,b確認這些連接資源是不合理的,才會釋放掉這些資源。當然,如果是惡意攻擊的話,那麽a在下一個10秒還會發10000個連接包。
a不斷地發這樣數據包,就意味著b將永遠要維護這10000個連接,因此,b的cpu和內存將被耗盡,至少也得被占用大部分。所以b就無法響應其它機器的請求,或者是響應遲緩。
“這就好比是一個流氓給一個正經人寄了封信,讓他到馬上到某個地方見麵,發完就閃了,也不去約定的地方,而那個正經人卻傻乎乎真在那裏等著流氓。等了一天了,不見流氓來,正經人就迴家了。可第二天又收到流氓的信,於是又去等了。”
“一連幾天下來,正經人累壞了,自己的正常工作也因為去等流氓的緣故而沒有顧及上。”
“那不是太混蛋了嗎?”葉筱妖漂亮的眼睛瞪大了,原來洪水攻擊是這麽迴事,她總算有些明白了。
“小助手,有沒有辦法徹底解決洪水攻擊?”
有一句話說得好,有問題,找小汐,現在小汐不在了,找小助手也行。沈斌想了很久都沒有想出一個完美的解決方案來,於是就隻要求助小助手。
“方法是有的。傳承空間裏有完整的教程,不過這本來應該是宿主自己學習的內容。”
小助手語氣平淡。
沈斌眼睛一瞪,不悅道:“現在都什麽時候了還自己學習,非常時期就應該用非常手段,小助手你直接告訴我應該怎麽辦。”
小助手沉默了會,說道:“根據宿主所在文明的具體情況,係統推薦:采用分布式防禦機製。”
“具體的呢?”沈斌問。
“主要有兩種防禦。”小助手的聲音依舊跟從前一樣缺乏感情,不過沈斌現在卻覺得如聽仙樂一般,居然有兩種防禦方法。
“說說看!”他期待地道。
“第一種,可以建立節點信任機製。通過對節點進行計算,根據計算的結果,得出每個網絡節點的信譽值,從而生成信任表與不信任表。具體方法是,每一次數據交換時,首先對消息包的
來源節點進行信譽判斷,不信任的直接阻斷,信任的放行,進入下一層檢測。采用不信任節點黑名沈斌聽著覺得有道理,就點點頭道:“那下一步呢?”
“下一步就是第二種防禦策略,節點流量實時檢測過濾策略。”
“由於一些洪水消息包與正常消息包沒有本質的區別,所以可以對消息包來源節點和ttl進行組合判斷,建立起節點流量實時檢測過濾策略。當節點接收消息時,可以先不對消息進行轉發,而是先進行流量統計識別。當它在一段時間裏收到的某一鄰居節點消息超過預先設定值的時候,則判定消息來源於同一ttl半徑。若同時這一源節點持續發送消息數量達到事先設定的服務器資源的一個值,比如說20%時,就判定它具備ddos攻擊特征,為ddos攻擊包。即對該消息進行丟包策略處理。”
小助手不緊不慢地道。
沈斌一聽,眼睛立刻亮了起來。
所謂的丟包策略,就是說如果在一個時間段內判定這個節點有攻擊特征,則對消息包進行減半轉發。一般一個節點每分鍾產生的消息查詢數不會超過40,進行一次判定後,減半,就是說下次這個節點隻允許發送20個消息包給服務器。
如果還是發現有攻擊特征,則在原基礎上繼續減半,一直到這個節點隻允許發送一個消息包為止。同時將該節點填入不信任名單,若這個節點攻擊特征減緩或者恢複正常,則每次增加一個消息包的配額,直至恢複正常。
小助手給出的防禦策略實在是非常不錯,沈斌從前似乎也在計算機理論刊物上見到過這方麵的論述。隻是沒有小助手給的這麽具體。
看來小助手真的是從自己周圍的環境出發,沒有太過逾越的給出超越現有科技的技術。
方案是有了,接下來就是要具體的實施。
這不,沈斌又遇到麻煩了。
這該怎麽實施啊?
編寫一個小工具附加到硬件防火牆上?
沈斌一想,似乎可行的樣子。