. . 怎样预防 WEB流量攻击由于 DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。 据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems) , 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。DDoS攻击揭秘DDoS攻击主要是利用了internet协议和 internet基本优点 —— 无偏差地从任何的源头传送数据包到任意目的地。DDoS攻击分为两种: 要么大数据, 大流量来压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。有效防止DDoS攻击的关键困难是无法将攻击包从合法包中区分出来:IDS进行的典型 “签名 ”模式匹配起不到有效的作用;许多攻击使用源IP 地址欺骗来逃脱源识别,很难搜寻特定的攻击源头。有两类最基本的DDoS攻击:● 带宽攻击:这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的TCP、 UDP或 ICMP数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常使用源地址欺骗,并不停地变化。. . ● 应用攻击:利用TCP和 HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP半开和 HTTP错误就是应用攻击的两个典型例子。DDoS威胁日益致命DDoS攻击的一个致命趋势是使用复杂的欺骗技术和基本协议,如 HTTP,Email 等协议, 而不是采用可被阻断的非基本协议或高端口协议,非常难识别和防御,通常采用的包过滤或限制速率的措施只是通过停止服务来简单停止攻击任务,但同时合法用户的请求也被拒绝,造成业务的中断或服务质量的下降;DDoS事件的突发性,往往在很短的时间内,大量的DDoS攻击数据就可是网络资源和服务资源消耗殆尽。现在的 DDoS防御手段不够完善不管哪种 DDoS攻击,,当前的技术都不足以很好的抵御。现在流行的DDoS防御手段 —— 例如黑洞技术和路由器过滤,限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS 入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。黑洞技术黑洞技术描述了一个服务提...
