DDoS原理說明及基本防護參考

DDoS (Distributed Denial of Service) 中文名稱：分散式阻斷服務攻擊

攻擊原理:

在資訊安全的三要素：「保密性」、「完整性」和「可用性」中，DoS（Denial of Service），即拒絕服務攻擊，針對的目標正是「可用性」。該攻擊方式利用目標系統網路服務功能缺陷或者直接消耗其系統資源，使得該目標系統無法提供正常的服務。

DDoS 的攻擊方式有很多種，最基本的 DoS 攻擊就是利用合理的服務請求來佔用過多的服務資源，從而使合法使用者無法得到服務的回應。單一的 DoS 攻擊一般是採用一對一方式的，當攻擊目標 CPU 速度低、記憶體小或者網路頻寬小等各項指標不高的性能，它的效果是明顯的。隨著電腦與網路技術的發展，電腦的處理能力迅速增長，記憶體大大增加，同時也出現了千兆級別的網路，這使得 DoS 攻擊的困難程度加大了，目標對惡意攻擊包的「消化能力」加強了不少。在此情況下，分散式的阻斷服務攻擊手段（DDoS）就應運而生了。DDoS 就是利用更多的「傀儡機」來發起進攻，以比從前更大的規模來進攻受害者，導致「可用性」坍塌、失效。

以智取勝的方法(僅供參考 並非能夠完全能夠防禦):

DDoS就跟DoS是類似的，只是一個是單來源攻擊，另一個則是多來源攻擊。

A.金錢法("荷包君"消耗法)

若想有效防範DDoS可以看自己的"荷包君"，若它願意被你(妳)花的話再去花錢升級你的電腦設備瞜!!

金錢法最主要的就是以下清單(由最重要排至可參考)

1.網路升級 (最好是100/50Mbps之類的但是~~網路業者也必須是企業龍頭中X電X)

2.硬體防火牆(這裡就必須說明了 詳情請見本文的防火牆的那段)

3.核心升級 (有人說要防就是要I7? 其實不用 同樣是AMD核心卻能有效防範最主要的是核心頻率 頻率越高 效能越能表現核心數目多只是分工的效能比較好而已)

4.記憶體增加(顧名思義就是把原本4G或16G的記憶體全擴充至極限)

5.轉換OS(簡單講就是換至win server 2012 / 2016 或是Linux 原因是內建的系統都有做到基本防護的功能在)

B.軟體法:

這裡就沒有太多的點點了，因為方向太大。

最基本的就是，作業系統中的防火牆必須打開，需要時增加Port就好但是別新增至UTP的行列中。

C.設計法:

如果您知道怎麼把網路濾波那就可以自己設計電路再去做搂。

以上方法我個人是都有使用，雖然還是會被攻擊，但並不會太影響我們上網的作業環境喔!!

硬體防火牆:

硬體防火牆算是商用網路設備，最主要的就是防護!!

硬體防火牆該怎麼做選購呢?

1.拿新軟系統為例

紅色是我目前防火牆的功能

橘色是防火牆中的基本它必須會過濾這些參數

棕色是每位伺服器主(防護者)才想要的功能這些可以有效過濾部分的DDoS但也是必須取決於你的網路速度

個人想法：

我雖然是每天都在研究不一樣的事情，但永遠無法忘記的就是攻擊事件。

攻擊方法雖然多，但要說防禦並不是一個人就能完成。

一旦網路上有任何的攻擊動作，當然對網路安全工程師或是伺服主都是最緊張的，

原因也對是，我網路又要潰堤了?等疑問，當然攻擊是無所不在的，

但是最一般的方式當然還是多問多方面請教。

我雖然是伺服器工程師兼技術團隊的團長，

只要有關防禦的事，只要你問我，我一定會回答。

以上是我個人整合的DDoS部分資訊，網路上各種說明都有但，也沒有防護的部分。

本文章部分採錄於technews.tw官方資訊

日後若有相關的資訊會陸續更新本文章

更新日期:

編輯完成:2017/02/13 01:15

增加:2017/02/14 20:17

文章節錄:http://technews.tw/2015/08/28/what-is-ddos/