ddos攻击实战_ddos攻击网站案例

DDOS攻击，网站防御的办法

CDN确实是一个很好的办法，不过也需要高防的CDN，目前DDOS没有任何有效的解决办法，你可以找一下中型IDC商，租个高防的服务器，还可以买个软防安装在自己的服务器上面，安全狗 金盾之类的 30G流量大约成本在3W左右，一个月的，

网站受到DDOS攻击怎么办

一、确保系统的安全

1、确保服务器的系统文件是最新的版本,并及时更新系统补丁。

2、管理员需对所有主机进行检查，知道访问者的来源。

3、过滤不必要的服务和端口，可以使用工具来过滤不必要的服务和端口，即在路由器上过滤假IP。

4、限制同时打开的SYN半连接数目,缩短SYN半连接的time out 时间,限制SYN/ICMP流量。

5、正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。

6、认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

7、限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。

8、充分利用网络设备保护网络资源。

二、隐藏服务器的真实IP地址

服务器防御DDOS攻击最根本的措施就是隐藏服务器真实IP地址。

当服务器对外传送信息时就可能会泄露IP，例如，我们常见的使用服务器发送邮件功能就会泄露服务器的IP，因而，我们在发送邮件时，需要通过第三方代理发送，这样子显示出来的IP是代理IP，因而不会泄露真实IP地址。

在资金充足的情况下，可以选择高防服务器，且在服务器前端加CDN中转，所有的域名和子域都使用CDN来解析。

三、负载均衡技术

这一类主要针对DDOS攻击中的CC攻击进行防护，这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。

当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和分布式拒绝服务攻击区分开来。

在企业网站加了负载均衡方案后，不仅有对网站起到CC攻击防护作用，也能将访问用户进行均衡分配到各个web服务器上，减少单个web服务器负担，加快网站访问速度。

网站受到DDOS攻击怎么办？

ddos攻击意思是黑客通过几千台甚至上万台肉鸡每秒像你的网站ip发送几G甚至几T的流量，对你网站ip进行的流量攻击，一般受攻击的网站会因为流量猛涨，内存占用过高而打不开。原理如图

防御的方法：

（1）可以通过花钱像服务器运营商购买更多的流量或带宽即提高网站服务器配置，当黑客的攻击流量小于你服务器拥有的流量，网站还是可以打开，黑客的目的就没达到，如果黑客还对你网站ip发动ddos攻击，他的肉鸡流量也会有损耗。

（2）网站服务器只开放80端口，其他所有端口都关闭，即在防火墙上做阻止策略。

（3）检查访问者ip是否是真实ip，使用Unicast Reverse-Path-Forwarding等反向路由器查询检查访问者ip是否真实。

END

注意事项

肉鸡是指被黑客控制的个人电脑或网站服务器，个人电脑相对少，因为现在的电脑一般都装了杀软，很难中木马了，而网站服务器，特别是win系统的vps却很容易中木马，黑客通过网站漏洞上传木马文件至网站目录，然后通过提权，进而控制你的服务器成为黑客的肉鸡

如何利用ASA发现DDOS攻击及应急预案

1）ASDM

2）Show 命令

如何利用ASA发现并应急处理DDOS攻击

1) 通过ASDM发现每秒的TCP连接数突增。

2）利用 show perfmon 命令检查连接状态，发现每秒的TCP连接数高达2059个，半开连接数量则是1092个每秒。从公司的日常记录看，此时这两个连接数量属于不正常的范围。

3）利用show conn命令察看不正常连接的具体信息，例如源/目的地址以及源/目的端口。在本案例中发现随机的源地址和端口去访问相同的目的地址10.1.1.50的80端口，并且这些TCP的连接都是半开连接属于TCP SYN泛洪攻击。

Flag Description

U Up

f Inside FIN

F Outside FIN

r Inside acknowledged FIN

R Outside acknowledged FIN

s Awaiting outside SYN

S Awaiting inside SYN

M SMTP data

T TCP SIP connection

I Inbound data

O Outbound data

q SQL*Net data

d Dump

P Inside back connection

E Outside back connection

G Group

a Awaiting outside ACK to SYN

A Awaiting inside ACK to SYN

B Initial SYN from outside

R RPC

H H.323

T UDP SIP connection

m SIP media connection

t SIP transient connection

D DNS

4）利用ASDM发现半开（TCP SYN 泛洪）攻击存在，并且连接数量突增。

5）利用TCP Intercept机制应急处理TCP的半开连接攻击。利用ACL及Class-Map来分类流量，在Policy-Map下限制最大的半开连接数，在本案例中为100。

6) 利用ASDM检查，是否TCP intercept机制起效。由此可见连接数和TCP SYN攻击的曲线都有所下降。所以证明TCP intercept机制生效。但是总连接数还是处于一个不正常的状态。

7）限制每个客户端所能产生的最大连接数从而实现对垃圾连接的限制。

8）通过ASDM检查当前连接状态。发现连接数开始下降并恢复正常。

9）利用ASDM跟踪攻击状态。此时攻击还是存在的但是ASA阻断了它们并保护了服务器的运行。