互联网针对服务器的三大攻击
主流的服务器攻击方式有多种手段,但是唯独DDOS攻击、CC攻击以及ARP欺骗,这些攻击方式被称为三大攻击手段,不仅可以致使服务器瘫痪,而且还很无解。
DDoS无情也无解
DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击,攻击所造成的后果也因此而严重程度不同。
DDoS攻击出现至今已将近三十年,可是至今依然未能出现有效的应对手段。今年里约奥运会期间,DDoS攻击再次大行其道。全球攻击峰值达到了今年的值,可见只是一种人来疯而且还不怕见光的攻击手段。
DDoS攻击无解无情
那么DDoS攻击为何如此无解呢?因为DDoS攻击常常会采用通过大量合法的请求的手段占用服务器网络资源,由此而达到瘫痪网络的目的。服务器在面对DDoS攻击时很难合理的判定和区分请求,因此遭受攻击时往往束手无策,只能等待攻击者停止攻击。
CC攻击(Challenge Collapsar)不逊色
CC攻击相比DDoS攻击也并不逊色。本质上来看,二者属于同一类攻击,均是要借助代理服务器生成指向受害主机的合法请求。但不同的是,DDoS攻击通常针对平台以及网站发送大量数据包造成目标瘫痪,而CC攻击则更倾向于攻击页面。
那么是否CC攻击要比DDoS攻击影响小呢?并非这样,CC攻击IP及流量,隐藏性都非常强,这种攻击手段是很多论坛用户常见的一种,是目前十分主流的一种服务器攻击方式。
ARP欺骗则和上述两种有着本质的区别
ARP(Address Resolution Protocol)欺骗通俗来讲便是将IP地址转化成物理地址的协议。其一般会有两种出现方式,一种为对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
这两种欺骗都会引起十分严重的后果,对路由器的欺骗可能会导致相关网关数据被截获,黑客制造路由器错误的内网Mac地址,使得真实信息无法保存于路由器之中。而对PC的网关欺骗则是通过伪造网关,欺骗PC向假的网关发送数据。
而这三种攻击方式之所以会被认为是三大攻击方式的原因,只因为他们有一个共同点,那就是无法防御。
不能防御但能减轻
三大攻击无解,但是我们却看到了这些攻击手段并没有让我们的互联网时代瘫痪,也没有泛滥成灾。这是因为这些攻击手段虽然无法防御,却可以通过有效的手段来减轻攻击造成的损害,降低被攻击的概率。
几种防御方法
DDoS攻击由于其普遍性和臭名昭著,几乎目前所有的计算机都已经对其有所防范。防火墙就是防范DDoS攻击的一大利器。网关防火墙和路由防火墙应对不同类型的DDoS攻击均可起到一定的作用。
无解,那就减轻灾害
而次外,采用CDN加速,把这些攻击分散到镜像服务器上,降低对服务器影响也是一种不错的应对方法。
而如果企业饱受DDoS攻击困扰,那就只能采用有效也是贵的流量清洗了。部署专业的设备和方案,对数据流量实时监控,清洗掉异常的流量。同时,增加带宽,企业核心业务云化也是一种应对手段。
而CC攻击由于更针对网页,取消域名绑定是一种不错的方式。但是这种方法治标不治本,很可能引发CC攻击对新域名的新一轮轰炸。
以静制动
再者,采用静态页面可以增加攻击时间,降低攻击频率,减缓问题。而禁用网站代理访问虽然会给用户造成一定困扰,可是也是防御DDoS和CC攻击都很可靠的方式。限制连接数量,修改超时时间等,均可以对分布式攻击的症状有所缓解。
但是,CC攻击是技术性比较强的一种攻击,一般的防御手段虽然可以应付。可是如果其采用大流量攻击,那么除了增加带宽等砸钱的办法,企业也基本上束手无策。因此,采用云化的方式也正在被开发用以对付分布式攻击。
而ARP欺骗需要ARP病毒的帮助,因此,一款良好的杀毒软件可以让用户事半功倍。但是如果仅仅是杀毒还是治标不治本,寻找正确的方式找到ARP病毒源,进行相应的查杀才能有所改观。
技术应对危机,不再冷漠
再者,由于ARP攻击手段主要采用了伪装IP地址和MAC地址的方式对用户进行错误的诱导,因此,绑定IP及MAC地址也可以有良好的效果。
结束语