一个人看的www免费高清中文字幕_亚洲av无码专区国产乱码不卡_日日婷婷夜日日天干_欧美xxxxx做受vr

19
2019
11

如何防護ddos攻擊?

DDOS全稱Distributed Denial of Service,中文叫做“分布式拒絕服務”,就是利用大量合法的分布式服務器對目標發送請求,從而導致正常合法用戶無法獲得服務。DDOS會耗盡網絡服務的資源,使服務器失去響應,為實施下一步網絡攻擊來做準備。比如用KaLi_Linux的hping3就可以很容易的實現DDOS攻擊。

1. DDOS攻擊的具體步驟

如圖,未受攻擊時,netstat -nat可以查看到只有少量的網絡鏈接。

201911191574133867916445.png

用KaLi Linux的hping3進行SYN Flood攻擊。修改參數還可以進行UDP Flood和ICMP Flood攻擊。

201911191574133908173646.png

主機上用netstat查看,可以看到大量的SYN RECV狀態的連接,CPU耗用也很高。由于來源IP地址都是偽造的,而TCP SYN的超時時間至少需要30秒。這樣就可以消耗服務器的大量端口和網絡資源。

201911191574134099125943.png

ddos04.png

2. 如何防護DDOS攻擊?

DDOS必須在網絡邊緣處進行防護,大部分的防火墻都有類似的功能。以我司的WSG上網行為管理網關為例,開啟“DDOS防護”即可進行有效的阻擋。如圖:

201911191574134263836426.png

開啟DDOS防護后,SYN RECV的連接數大大減少,CPU的占用也少很多。

201911191574134698795621.png

201911191574134713122315.png

在WSG的“DDOS防護”中還可以看到防護的狀態統計。

201911191574134746119477.png

DDOS防護模塊在網絡請求數量異常時,會自動把新請求拒絕掉,從而把服務器的負載和資源占用控制在合理范圍,避免受到嚴重的損失。

? 上一篇 下一篇 ?