面对黑客的DDOS攻击应该如何处理及防御
DDoS攻击方式一般来说要么是消耗带宽资源,要么是耗尽服务器资源。服务器运营商的防护手段一般就是黑洞策略,遇到大流量攻击时直接把企业服务器放入黑洞,这样是可以阻挡DDOS攻击,但同时也让正常访客无法访问了。而墨者安全的防护会提供1T的超大带宽,可以对畸形包进行有效拦截,抵御SYN Flood、ACK Flood、ICMP Flood、DNS Flood等攻击,通过JS验证、浏览器指纹、ACL等技术抵御CC攻击。
问那个黑客攻击用流量攻击是什么意思?
就是带宽消耗,用带宽打你的服务器带宽,那边高那边就赢,这样说你应该理解吧!
什么叫流量攻击?
由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击揭秘 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。 DDoS攻击分为两种:要么大数据,大流量来压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来:IDS进行的典型“签名”模式匹配起不到有效的作用;许多攻击使用源IP地址欺骗来逃脱源识别,很难搜寻特定的攻击源头。 有两类最基本的DDoS攻击: ● 带宽攻击:这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的TCP、UDP或ICMP数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常使用源地址欺骗,并不停地变化。 ● 应用攻击:利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和HTTP错误就是应用攻击的两个典型例子。 DDoS威胁日益致命 DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,如HTTP,Email等协议,而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;DDoS事件的突发性,往往在很短的时间内,大量的DDoS攻击数据就可是网络资源和服务资源消耗殆尽。 现在的DDoS防御手段不够完善 不管哪种DDoS攻击,,当前的技术都不足以很好的抵御。现在流行的DDoS防御手段——例如黑洞技术和路由器过滤,限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。 黑洞技术 黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程,将改向的包引进“黑洞”并丢弃,以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃,所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务,攻击者因而获得胜利。 路由器 许多人运用路由器的过滤功能提供对DDoS攻击的防御,但对于现在复杂的DDoS攻击不能提供完善的防御。 路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击,例如ping攻击。这需要一个手动的反应措施,并且往往是在攻击致使服务失败之后。另外,现在的DDoS攻击使用互联网必要的有效协议,很难有效的滤除。路由器也能防止无效的或私有的IP地址空间,但DDoS攻击可以很容易的伪造成有效IP地址。 基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击,因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而,DDoS攻击能很容易伪造来自同一子网的IP地址,致使这种解决法案无效。 本质上,对于种类繁多的使用有效协议的欺骗攻击,路由器ACLs是无效的。包括: ● SYN、SYN-ACK、FIN等洪流。 ● 服务代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN,所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。 ● DNS或BGP。当发起这类随机欺骗DNS服务器或BGP路由器攻击时,ACLs——类似于SYN洪流——无法验证哪些地址是合法的,哪些是欺骗的。 ACLs在防御应用层(客户端)攻击时也是无效的,无论欺骗与否,ACLs理论上能阻断客户端攻击——例如HTTP错误和HTTP半开连接攻击,假如攻击和单独的非欺骗源能被精确的监测——将要求用户对每一受害者配置数百甚至数千ACLs,这其实是无法实际实施的。 防火墙 首先防火墙的位置处于数据路径下游远端,不能为从提供商到企业边缘路由器的访问链路提供足够的保护,从而将那些易受攻击的组件留给了DDoS 攻击。此外,因为防火墙总是串联的而成为潜在性能瓶颈,因为可以通过消耗它们的会话处理能力来对它们自身进行DDoS攻击。 其次是反常事件检测缺乏的限制,防火墙首要任务是要控制私有网络的访问。一种实现的方法是通过追踪从内侧向外侧服务发起的会话,然后只接收“不干净”一侧期望源头发来的特定响应。然而,这对于一些开放给公众来接收请求的服务是不起作用的,比如Web、DNS和其它服务,因为黑客可以使用“被认可的”协议(如HTTP)。 第三种限制,虽然防火墙能检测反常行为,但几乎没有反欺骗能力——其结构仍然是攻击者达到其目的。当一个DDoS攻击被检测到,防火墙能停止与攻击相联系的某一特定数据流,但它们无法逐个包检测,将好的或合法业务从恶意业务中分出,使得它们在事实上对IP地址欺骗攻击无效。 IDS入侵监测 IDS解决方案将不得不提供领先的行为或基于反常事务的算法来检测现在的DDoS攻击。但是一些基于反常事务的性能要求有专家进行手动的调整,而且经常误报,并且不能识别特定的攻击流。同时IDS本身也很容易成为DDoS攻击的牺牲者。 作为DDoS防御平台的IDS最大的缺点是它只能检测到攻击,但对于缓和攻击的影响却毫无作为。IDS解决方案也许能托付给路由器和防火墙的过滤器,但正如前面叙述的,这对于缓解DDoS攻击效率很低,即便是用类似于静态过滤串联部署的IDS也做不到。 DDoS攻击的手动响应 作为DDoS防御一部份的手动处理太微小并且太缓慢。受害者对DDoS攻击的典型第一反应是询问最近的上游连接提供者——ISP、宿主提供商或骨干网承载商——尝试识别该消息来源。对于地址欺骗的情况,尝试识别消息来源是一个长期和冗长的过程,需要许多提供商合作和追踪的过程。即使来源可被识别,但阻断它也意味同时阻断所有业务——好的和坏的。 其他策略 为了忍受DDoS攻击,可能考虑了这样的策略,例如过量供应,就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低,尤其是因为它要求附加冗余接口和设备。不考虑最初的作用,攻击者仅仅通过增加攻击容量就可击败额外的硬件,互联网上上千万台的机器是他们取之不净的攻击容量资源。 有效抵御DDoS攻击 从事于DDoS攻击防御需要一种全新的方法,不仅能检测复杂性和欺骗性日益增加的攻击,而且要有效抵御攻击的影响。 完整的DDoS保护围绕四个关键主题建立: 1. 要缓解攻击,而不只是检测 2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在 3. 内含性能和体系结构能对上游进行配置,保护所有易受损点 4. 维持可靠性和成本效益可升级性 建立在这些构想上的DDoS防御具有以下保护性质: 通过完整的检测和阻断机制立即响应DDoS攻击,即使在攻击者的身份和轮廓不 断变化的情况下。 与现有的静态路由过滤器或IDS签名相比,能提供更完整的验证性能。 提供基于行为的反常事件识别来检测含有恶意意图的有效包。 识别和阻断个别的欺骗包,保护合法商务交易。 提供能处理大量DDoS攻击但不影响被保护资源的机制。 攻击期间能按需求部署保护,不会引进故障点或增加串联策略的瓶颈点。 内置智能只处理被感染的业务流,确保可靠性最大化和花销比例最小化。 避免依赖网络设备或配置转换。 所有通信使用标准协议,确保互操作性和可靠性最大化。 完整DDoS保护解决技术体系 基于检测、转移、验证和转发的基础上实施一个完整DDoS保护解决方案来提供完全保护,通过下列措施维持业务不间断进行: 1. 时实检测DDoS停止服务攻击攻击。 2. 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。 3. 从好的数据包中分析和过滤出不好的数据包,阻止恶意业务影响性能,同时允许合法业务的处理。 4. 转发正常业务来维持商务持续进行。 现在随着网络的飞速发展,流量攻击也越来越不是问题了。只要硬防足够大,带宽足够的大,流量攻击影响也不大的 现在市场上针对这些攻击的有很多知名的硬防,如:金盾硬防集(专业做硬防技术的单位,非常不错的),傲盾硬防集(开始不错,后来自己也做了机房了,做硬防的公司转型做机房了,印像不好!我觉得人还是做好自己的工作好些,做专!)其外的还有冰盾,黑洞,黑盾,绿盾,威盾,等等。 目前全国有些不错的机房,主要是网通和电信两个机房线路: 网通大硬防机房:大连网通(8G硬防集),辽宁网通(10G硬防集),河南网通(硬防集10G) 电信大硬防机房:江苏电信(20G硬防集),浙江电信(8G),金华(10G)词条图册更多图册
自己去看百度!!
我是一个诛仙玩家
完美时空遇大规模黑客攻击正积极处理
一次有组织的针对完美时空旗下四款游戏产品的进行的大规模黑客攻击在今天凌晨开始,截止发稿前,攻击流量已超过100G,达到中国网络有始以来最大规模的攻击。为最大限度保证玩家访问官网、登陆游戏的通畅,完美时空正在对登陆服务器进行紧急硬件升级。
《诛仙(官方博客 玩家博客圈 评测)》定情公测,真爱开启,受到万千“诛丝”的疯狂追捧,短短两周时间激增29组新服,总服务器数量达到41组。而每逢晚上黄金时间和 周末,《诛仙》都会出现所有服务器全线飘红的壮观景象!而完美时空的其他三款产品《完美世界》、《完美世界国际版(玩家博客圈)》、《武林外传(官方博客 玩家博客圈)》也在大陆游戏市场占据举足轻重的地位,完美时空的市场整体 占有率在四款产品的支持下,正在稳步上升。
正是这款万千“诛丝”痴迷的“真爱网游”《诛仙》,正是如日中天的完美时空,让一些别有用心的人寝食难安。各种各样的打击《诛仙》的 不法手段源源不断的出现。从在网络上有意散步诋毁《诛仙》的虚假言论,到前些日子有组织的针对《诛仙》小规模黑客攻击,但在广大“诛丝”对《诛仙》无法抹消得热情和完美时空雄厚的技术实力面前,这些手段终究成为笑柄。
于是,令人发指的一幕出现了。一次有组织的针对完美时空旗下四款游戏产品的进行的大规模黑客攻击在今天凌晨开始,截止发稿前,攻击流量已超过100G,达到中国网络有始以来最大规模的攻击。由于这场突如其来的大规模攻击,已大大超越了相关电信和网通机房的出口带宽,完美时空的四款游戏产品均受到了一定程度的影响,部分服务器于今天凌晨开始出现登陆困难、无法连接服务器等现象。
为最大限度保证玩家访问官网、登陆游戏的通畅,完美时空正在对登陆服务器进行紧急硬件升级。我们将以最快的速度恢复被攻击的服务器,为广大玩家提供优质、畅通的服务。同时,对于在本声明前假冒完美时空在网络上发布虚假官方声明及散播谣言的不法分子,完美时空将保留追究其法律责任的权利!
此外,这种基于流量的网络攻击带来最大的危害仅在于网络堵塞,仅造成用户访问网站和登陆游戏困难,但对于处于防火墙内服务器上存储的玩家数据则不会有任何影响,请广大玩家放心。
完美时空郑重警告在幕后策划和执行这次违法行为的人,完美时空已经向警方局报案,目前公安局、网络监查处以及完美时空正在协力侦破。 如此大规模的攻击,已经引起了警方和新闻出版署、文化部等国家相关部门的高度重视,北京市公安局海淀分局网络监察处网络安全科孙科长表示,对于这种损害网民利益、对民族网游原创开发企业的仇视和攻击、以非法手段打击民族企业的恶劣行为,政府必将予以严惩!完美时空将不惜代价配合警方对此次攻击事件进行彻查,誓将侵害广大“诛丝”权益的不法分子一网打尽!
对于此次黑客攻击给您带来的不便,敬请谅解,民族网游征程漫漫,完美时空誓死保卫这一片纯洁、自由的原创净土,希望广大玩家能够理解、支持。
针对这些攻击的有很多知名的硬防,如:金盾硬防集(专业做硬防技术的单位,非常不错的),傲盾硬防集(开始不错,后来自己也做了机房了,做硬防的公司转型做机房了,印像不好!我觉得人还是做好自己的工作好些,做专!)其外的还有冰盾,黑洞,黑盾,绿盾,威盾,等等。 目前全国有
流量攻击?由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。
本声明前假冒完美时空在网络上发布虚假官方声明及散播谣言的不法分子,完美时空将保留追究其法律责任的权利! 此外,这种基于流量的网络攻击带来最大的危害仅在于网络堵塞,仅造成用户访问网站和登陆游戏困难,但对于处于防火墙内服务器上存储的玩家数据则不会有任何影响,请广大玩家放心。