精华内容
下载资源
问答
  • 什么是分布式拒绝服务攻击?
    千次阅读
    2022-01-06 11:15:57

    当多台机器一起运行以攻击一个目标时,就会发生分布式拒绝服务 (DDoS) 攻击。DDoS 攻击者通常利用僵尸网络(一组被劫持的互联网连接设备)进行大规模攻击。攻击者利用安全漏洞或设备弱点,使用命令和控制软件来控制众多设备。一旦获得控制,攻击者就可以命令他们的僵尸网络对目标进行 DDoS 攻击。在这种情况下,受感染的设备也是攻击的受害者。

    由受感染设备组成的僵尸网络也可能出租给其他潜在攻击者。僵尸网络通常可用于“雇佣攻击”服务,允许不熟练的用户发起 DDoS 攻击。

    DDoS 允许向目标发送成倍数的请求,从而增加攻击力。它还增加了归因的难度,因为攻击的真正来源更难识别。

    随着越来越多的设备通过物联网 (IoT) 上线,DDoS 攻击的规模也越来越大。物联网设备通常使用默认密码并且没有健全的安全措施,这使得它们容易受到攻击和利用。物联网设备的感染通常不会被用户注意到,攻击者可以在设备所有者不知情的情况下轻松破坏数十万台此类设备以进行大规模攻击。

    更多相关内容
  • #资源达人分享计划#
  • #资源达人分享计划#
  • #资源达人分享计划#
  • DDoS(Distributed Denial of Service分布式拒绝服务攻击)将多台计算机(僵尸网络)联合起来作为攻击平台,通过远程连接对一个或多个目标发动DoS攻击。目的消耗目标服务器性能或网络带宽,从而造成服务器无法为用户...

    DoS与DDo S简介

    DoS( Denial of Service 拒绝服务攻击)是一种历史悠久的网络攻击手法,短时间内对目标服务器产生大量请求,使服务器链路拥塞或忙于处理攻击请求,导致服务暂时中断或停止,导致其正常用户无法访问。

    DDoS(Distributed Denial of Service分布式拒绝服务攻击)将多台计算机(僵尸网络)联合起来作为攻击平台,通过远程连接对一个或多个目标发动DoS攻击。目的消耗目标服务器性能或网络带宽,从而造成服务器无法为用户正常地提供服务。

    网络通信原理

    网络访问简化过程

    客户端通过网络线路向远程服务器发送一个网络请求,服务器接收后对信息进行处理,处理完毕后将处理结果数据通过网络线路返回给客户端。

     

    网络传输协议

    互联网中数据的传输依靠的是TCP/IP协议为核心的通讯系统。TCP协议提供了可靠的通讯机制可以保障通讯有效性。

    下面简单介绍一下经典的tcp/ip协议四层结构:

    链路层(数据链路层/网络接口层)

    实现物理硬件设备网卡接口的网络驱动,以处理数据在以太网线等物理媒介上的传输,网络驱动程序隐藏了不同物理网络的不同电气特性,为上层协议提供一个统一的接口。

    通俗解释:链路层就是将上一层传过来的数据转换成比特即0和1编码,再将其通过电信号通过网络线路发送出去。

    网络层(互联网层)

    责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。通讯的两台物理主机之间通常不是直接连接,会通过多个中间节点(路由器)连接的,从而形成网络拓扑连接。网络层的作用之一就是选择这些中间节点,以确定两台物理主机间的通讯路径。网络层对上层协议隐藏了网络拓扑连接的细节,在使得传输层看来通讯双方是直接连接的。

     

    运输层

    主要为两台主机上的应用提供端到端的通信。提供了节点间的数据传送,应用程序之间的通信服务,主要功能是数据格式化、数据确认和丢失重传等。如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。

    TCP协议的可靠性是通过三次握手过程来实现的,过程如下:

    经过三次握手就可以确认客户端与服务端都可以正常的发送和接收信息。

     

    应用层

    应用程序间沟通的层,负责处理特定的应用程序细节。如电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。

     

    DDoS攻击本质

    为什么讲DDos前要先了解网络协议呢?因为DDos可以发生上网络通讯的每一层中,在网络上只要遵从协议的格式编写数据包并将数据包发送出去,那这个数据包就会被送往目标地址。Dos攻击最简单的就是往同一个目的地发送大量的数据包沾满其带宽资源导致其网络卡顿等。数据包可以是HTTP、TCP、UDP、ICMP、IP等协议数据包。

    身份隐藏

    “不会隐藏自己的黑客往往不是一个合格的黑客”,攻击者一般都会隐藏自己真实的地址而伪造ip地址从而躲过追踪。 最简单的就是将发送地址故意写成其他地址或者是虚拟的地址,接收信息的设备并不知道真实的发信人是谁。

     

    僵尸网络

    僵尸网络的表面意思是由机器人组成的网络。实际上,网络黑客会通过漏洞正面进攻没有及时打补丁的脆弱系统,或者是通过木马病毒侧面进攻缺乏网络安全意识的人,从而获得计算机系统的控制权限,简称“肉鸡”或“僵尸主机”。

    黑客如果技术过硬可以通过编写病毒木马去感染网络中的设备从而控制大量的的设备,这些被控制的设备也被称之为僵尸网络。僵尸网络中的设备越多攻击力就越大。

    如果攻击者有的是钱那他完全可以通过花钱来获得大量的真实设备,俗话说“有钱真的是可以为所欲为的”

     

    DDOS攻击方式

    反射攻击

    反射攻击就是通过伪造发信地址,将发信地址改成要攻击的目标地址,然后将数据包发送给网络上大量的设备(反射器),设备接收到数据包后以为是攻击目标地址发的请求,此时大量的设备就会同时回复请求发送响应信息给目标攻击的机器,导致目标机器忙于处理这些信息。反射攻击还有一个好处是更难追踪到攻击的来源。

    试想一下如果你某一天在等一个重要的电话,此时我将你的电话号码发送给大量的推销员说你需要他们的产品,结果可想而知你会被推销员的电话给淹没而错过重要的电话。

    放大攻击

    首先需要了解DNS的工作原理,通常我们在访问一个域名的时候首选需要先将域名解析成ip地址,在一次DNS查询的过程中终端机器发送10B(字节)的查询数据,DNS会返回500B的数据,发送和接收之间的数据差异是50倍。

     

    放大攻击就是利用了上述过程,攻击者将DNS查询的请求的请求地址改成目标地址,然后不断的发送DNS查询请求,那么就会产生50倍的流量攻击效果,从而达到对目标机器的带宽资源占用。

    TCP之SYN洪水攻击

    在上述的介绍中,TCP协议需要经过三次握手才能建立连接,所以伪造的发信地址不能完成三次握手建立连接,但是TCP在三次握手的过程中依旧可以被攻击,攻击的发生在第一次握手时,攻击者通过给目标服务器发送大量伪造请求地址的TCP连接请求即发送SYN,然后不需要处理服务器的响应,服务器在接收到请求后发生ACK后等待第三次握手,但是请求地址是伪造的服务永远不可能收到第三次握手,此时服务器会根据TCP协议中有重传机制会多次发送SYN+ACK直到超时才会释放占用的端口。如果攻击者不断地发送SYN请求那么服务器的端口就可能全部被占满而无法处理正常的请求。

    SYN洪水攻击就是通过消耗服务器的TCP连接资源而达到DDos的攻击效果。

     

    TCP之RST洪水攻击

    首选需要了解TCP的RST标志位,RST机制在TCP连接中的作用是用来强制关闭异常的TCP连接的,例如A和B之间建立的TCP连接,正常情况下关闭连接需要经过四次挥手才会释放连接资源,但是A可以通过发送RST信号来强制关闭连接,此时关闭连接不需要B的响应。

    RST洪水攻击就是利用了TCP的RST机制,例如攻击者知道用户地址以及用户会和目标服务器之间进行TCP连接,此时攻击者可以通过伪造TCP正常用户的RST请求发送给服务器,让服务器误以为正常用户的RST请求而导致异常关闭连接。如果攻击者不知道用户的ip地址则可以通过发送大量伪造的RST请求给目标服务器进行盲打,只要刚好IP地址个某个用户对上就会导致用户和服务器之间的连接异常关闭。

    RST攻击主要是针对用户而言。

    HTTP洪水攻击

    上述介绍的攻击方式主要是通过消耗目标服务的带宽资源和连接资源,还有一种攻击方式是针对服务的io以及计算资源。

    首选需要了解一下一次查询请求的过程,客户端发送关键字给服务器,服务接收到关键字后通过查询数据库或者通过计算获取查询结果(这个过程是需要消耗计算资源和进行IO操作的),然后将结果返回给客户端。

    应用的功能一般由应用层的HTTP协议进行通信,而HTTP协议是基于TCP协议的,故HTTP协议通信是不能隐藏攻击者的,攻击者一般会通过网络代理主机获得大量的真实的ip地址然后发起攻击。如果你不缺钱也可以通过花钱获得大量的真实的设备,如果你技术过硬也可以通过编写木马病毒控制网络中大部分设备。在获取大量设备后同时给目标服务器发送大量的查询请求以达到消耗目标服务的IO以及计算资源,使其无法处理正常的用户的请求,或者是直接使目标服务压力过大而导致崩溃。

     欢迎大家关注我的订阅号,会定期分享一些关于测试相关的文章,有问题也欢迎一起讨论学习!
    在这里插入图片描述

     

    展开全文
  • 分布式拒绝服务(DDoS:Distributed Denial of Service):攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常该攻击方式利用目标...

    分布式拒绝服务(DDoS:Distributed Denial of Service):攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。

    DDos攻击:分布式拒绝服务攻击,是指利用合理的客户端请求来占用过多的服务器资源,从而使得合法用户无法得到服务器的响应。
    如何实现DDOS攻击:1、利用协议、系统的缺陷 2、具备了海量流量。往往是结合两者实现的。

    DDoS攻击通过大量的请求占用大量网络资源,以达到瘫痪网络的目的。攻击方式可分为以下几种:
    • 通过使网络过载来干扰甚至阻断正常的网络通讯;
    • 通过向服务器提交大量请求,使服务器超负荷;
    • 阻断某一用户访问服务器;
    • 阻断某服务与特定系统或个人的通讯

    攻击的现象
    出现DDOS攻击时,往往会有以下特征:

    被攻击主机上有大量等待的TCP连接;
    网络中充斥着大量的无用的数据包;
    源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
    利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;
    严重时会造成系统死机。

    网络层DDos攻击
    (1)SYN flood攻击

    SYN flood攻击主要利用了TCP三次握手过程中的bug,我们知道TCP三次握手过程是要建立连接的双方发送SYN,SYN+ACK,ACK数据包,而当攻击方随意构造源ip去发送SYN包时,服务器返回的SYN+ACK就不能得到应答(因为ip是随意构造的),此时服务器就会尝试重新发送,并且会有至少30s的等待时间,导致资源饱和服务不可用,此攻击属于慢型dos攻击。

    协议漏洞及攻击原理:

    我们回过头来从安全的角度看三次握手,会发现这个流程是有缺陷的:在第二次握手中,当服务器发送了syn+ack报文后,如果他连接的定时器超过超时重传时间(出现超时的原因可能是syn+ack报文丢失、客户ack报文丢失、RTT时间过长、甚至可能客户是在进行synflood攻击),服务器就会对报文进行重传,当重传次数超过阈值服务器认为TCP连接超时,而后才会销毁该请求套接口释放TCB。如果攻击者用快于服务器TCP连接超时的速度,连续对目标服务器开放的端口发送SYN报文,服务器的所有资源都将被消耗,以至于不能再接受其他客户的正常连接请求。(如果发送SYN+ACK包之后,没有收到应答,就会在重试5次之后,将其移出半连接队列。这5次发送的时间间隔为1s、2s、4s、8s、16s、32s)。

    攻击检测及防御手段:
    目前对于SYN Flood攻击一般都通过实时监测tcp的新建连接速率来判断。显然地,当恶意客户端向目标发起攻击时,对目标服务器的请求连接报文会在短时间内大量增加,安全设备发现去往服务器的请求连接速率超过指定的阈值后即可开启防御。

       防御的前提当然是要区分出那些请求是合法的连接哪些是SYN泛洪,有一种机制叫SYN cookies。
    

    方法一:①当安全设备获取到发往服务器的SYN报文后,设备模拟服务端会给此源IP回复ack=Cookie的SYN/ACK报文(Cookie是通过五元组加密计算出来的值,正常情况下的ack=seq+1)。

              ②正常客户端会回复RST报文,而攻击流则不会回复。
    
              ③安全设备收到RST报文并校验后便可把回复正确报文的客户端IP加入白名单(校验通过的标准是RST报文中携带的seq等于用该报文的五元组等信息算出的Cookie)。
    
              ④后续安全设备放行属于该IP的正常流量。
    

    方法二:①当安全设备获取到发往服务器的SYN报文后,设备模拟服务器给源IP回复seq=Cookie的SYN/ACK报文。

              ②正常客户端会回复ACK报文,确认序列号为Cookie+1。
    
              ③安全设备收到ack报文并校验无误后将该客户端的IP加入白名单,并向客户端发送RST报文断开连接。
    
              ④后续安全设备放行属于该IP的正常流量。
    

    方法三:①当安全设备获取到发往服务器的SYN报文后,设备模拟服务器给源IP回复seq=Cookie的SYN/ACK报文。

              ②正常客户端会回复ACK报文,确认序列号为Cookie+1。
    
              ③安全设备收到ack报文并校验无误后,设备与服务发送连接请求,通过三次握手后与服务器建立起连接。
    
               ④客户端与防火墙之间建立了连接,防火墙与服务器之间也建立了连接,客户端与服务器间关于此次连接的后续数据报文都将通过安全设备进行代理转发。
    

    (2)UDP flood攻击

    由于udp是一种无连接的协议,因此攻击者可以伪造大量的源IP地址去发送udp包,此种攻击属于大流量攻击。正常应用情况下,UDP包双向流量会基本相等,因此在消耗对方资源的时候也在消耗自己的资源。
    (3)ICMP flood攻击

    此攻击属于大流量攻击,其原理就是不断发送不正常的ICMP包(所谓不正常就是ICMP包内容很大),导致目标带宽被占用,但其本身资源也会被消耗。并且目前很多服务器都是禁ping的(在防火墙在可以屏蔽icmp包),因此这种方式已经落伍。
    应用层DDos攻击
    (1)CC攻击(Challenge Collapasar)

    CC攻击的原理,就是针对消耗资源比较大的页面不断发起不正常的请求,导致资源耗尽。因此在发送CC攻击前,我们需要寻找加载比较慢,消耗资源比较多的网页,比如需要查询数据库的页面、读写硬盘文件的等。通过cc攻击,使用爬虫对某些加载需要消耗大量资源的页面发起http请求。
    (2)HTTP POST DOS

    原理是在发送HTTP POST包时,指定一个非常大的Content-Length值,然后以极低的速度发包,保持连接不断,导致服务饱和不可用。
    DDoS攻击通过大量的请求占用大量网络资源,以达到瘫痪网络的目的。攻击方式可分为以下几种:

    通过使网络过载来干扰甚至阻断正常的网络通讯;
    通过向服务器提交大量请求,使服务器超负荷;
    阻断某一用户访问服务器;
    阻断某服务与特定系统或个人的通讯。

    展开全文
  • 拒绝服务攻击/分布式拒绝服务攻击

    万次阅读 2019-02-28 15:40:21
    拒绝服务(Denial of Service,简称DoS) 是一种简单的破坏性攻击。通常是利用传输协议下的某个弱点、系统存在的漏洞、或服务器的漏洞。对目标系统发起大规模的进攻。用超出目标处理能力的海量数据包消耗可用系统资源...

    拒绝服务(Denial of Service,简称DoS)

    是一种简单的破坏性攻击。通常是利用传输协议下的某个弱点、系统存在的漏洞、或服务器的漏洞。对目标系统发起大规模的进攻。用超出目标处理能力的海量数据包消耗可用系统资源、宽带资源等,造成程序缓冲区溢出错误,使其他合法用户无法正常请求。最终致使网络服务瘫痪,甚至系统死机

    拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为网络协议本身的安全缺陷,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区,不接收新的请求;二是使用IP欺骗,迫使服务器把非法用户的连接复位,影响合法用户的连接。

    最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过。

    连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。

    防止攻击:

    许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。

    SYN Flood防御

    前文描述过,SYN Flood攻击大量消耗服务器的CPU、内存资源,并占满SYN等待队列。相应的,我们修改内核参数即可有效缓解。主要参数如下:

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_max_syn_backlog = 8192

    net.ipv4.tcp_synack_retries = 2

    分别为启用SYN Cookie、设置SYN最大队列长度以及设置SYN+ACK最大重试次数。

    SYN Cookie的作用是缓解服务器资源压力。启用之前,服务器在接到SYN数据包后,立即分配存储空间,并随机化一个数字作为SYN号发送SYN+ACK数据包。然后保存连接的状态信息等待客户端确认。启用SYN Cookie之后,服务器不再分配存储空间,而且通过基于时间种子的随机数算法设置一个SYN号,替代完全随机的SYN号。发送完SYN+ACK确认报文之后,清空资源不保存任何状态信息。直到服务器接到客户端的最终ACK包,通过Cookie检验算法鉴定是否与发出去的SYN+ACK报文序列号匹配,匹配则通过完成握手,失败则丢弃。当然,前文的高级攻击中有SYN混合ACK的攻击方法,则是对此种防御方法的反击,其中优劣由双方的硬件配置决定

    tcp_max_syn_backlog则是使用服务器的内存资源,换取更大的等待队列长度,让攻击数据包不至于占满所有连接而导致正常用户无法完成握手。net.ipv4.tcp_synack_retries是降低服务器SYN+ACK报文重试次数,尽快释放等待资源。这三种措施与攻击的三种危害一一对应,完完全全地对症下药。但这些措施也是双刃剑,可能消耗服务器更多的内存资源,甚至影响正常用户建立TCP连接,需要评估服务器硬件资源和攻击大小谨慎设置。

    除了定制TCP/IP协议栈之外,还有一种常见做法是TCP首包丢弃方案,利用TCP协议的重传机制识别正常用户和攻击报文。当防御设备接到一个IP地址的SYN报文后,简单比对该IP是否存在于白名单中,存在则转发到后端。如不存在于白名单中,检查是否是该IP在一定时间段内的首次SYN报文,不是则检查是否重传报文,是重传则转发并加入白名单,不是则丢弃并加入黑名单。是首次SYN报文则丢弃并等待一段时间以试图接受该IP的SYN重传报文,等待超时则判定为攻击报文加入黑名单。

    首包丢弃方案对用户体验会略有影响,因为丢弃首包重传会增大业务的响应时间,有鉴于此发展出了一种更优的TCP Proxy方案。所有的SYN数据报文由清洗设备接受,按照SYN Cookie方案处理。和设备成功建立了TCP三次握手的IP地址被判定为合法用户加入白名单,由设备伪装真实客户端IP地址再与真实服务器完成三次握手,随后转发数据。而指定时间内没有和设备完成三次握手的IP地址,被判定为恶意IP地址屏蔽一定时间。除了SYN Cookie结合TCP Proxy外,清洗设备还具备多种畸形TCP标志位数据包探测的能力,通过对SYN报文返回非预期应答测试客户端反应的方式来鉴别正常访问和恶意行为。

    清洗设备的硬件具有特殊的网络处理器芯片和特别优化的操作系统、TCP/IP协议栈,可以处理非常巨大的流量和SYN队列。

    HTTP Flood防御

    HTTP Flood攻击防御主要通过缓存的方式进行,尽量由设备的缓存直接返回结果来保护后端业务。大型的互联网企业,会有庞大的CDN节点缓存内容。

    当高级攻击者穿透缓存时,清洗设备会截获HTTP请求做特殊处理。最简单的方法就是对源IP的HTTP请求频率做统计,高于一定频率的IP地址加入黑名单。这种方法过于简单,容易带来误杀,并且无法屏蔽来自代理服务器的攻击,因此逐渐废止,取而代之的是JavaScript跳转人机识别方案。

    HTTP Flood是由程序模拟HTTP请求,一般来说不会解析服务端返回数据,更不会解析JS之类代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。

    DNS Flood防御

    DNS攻击防御也有类似HTTP的防御手段,第一方案是缓存。其次是重发,可以是直接丢弃DNS报文导致UDP层面的请求重发,可以是返回特殊响应强制要求客户端使用TCP协议重发DNS查询请求。

    特殊的,对于授权域DNS的保护,设备会在业务正常时期提取收到的DNS域名列表和ISP DNS IP列表备用,在攻击时,非此列表的请求一律丢弃,大幅降低性能压力。对于域名,实行同样的域名白名单机制,非白名单中的域名解析请求,做丢弃处理。

    慢速连接攻击防

    Slowloris攻击防御比较简单,主要方案有两个。

    第一个是统计每个TCP连接的时长并计算单位时间内通过的报文数量即可做精确识别。一个TCP连接中,HTTP报文太少和报文太多都是不正常的,过少可能是慢速连接攻击,过多可能是使用HTTP 1.1协议进行的HTTP Flood攻击,在一个TCP连接中发送多个HTTP请求。

    第二个是限制HTTP头部传输的最大许可时间。超过指定时间HTTP Header还没有传输完成,直接判定源IP地址为慢速连接攻击,中断连接并加入黑名单。

    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击

    指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

    比喻:

    一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,最终跑了真正的大客户,损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成,需要叫上很多人一起。嗯,网络安全领域中DoS和DDoS攻击就遵循着这些思路。

                                                 

    在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。

    DdoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机肉鸡)来发起进攻,以比从前更大的规模来进攻受害者

    攻击方式:

    DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 这种攻击方式可分为以下几种:

    通过使网络过载来干扰甚至阻断正常的网络通讯;

    通过向服务器提交大量请求,使服务器超负荷;

    阻断某一用户访问服务器;

    阻断某服务与特定系统或个人的通讯。

    攻击现象:

    被攻击主机上有大量等待的TCP连接;

    网络中充斥着大量的无用的数据包;

    源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;

    利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;

    严重时会造成系统死机。

    分类:

    按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。

    基于ARP

      ARP是无连接的协议,当收到攻击者发送来的ARP应答时。它将接收ARP应答包中所提供的信息。更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力。产生拒绝服务,如ARP重定向攻击。

    基于ICMP

      攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。

    基于IP

      TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。

    基于TCP

     SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake),而SYN Flood拒绝服务攻击就是通过三次握手而实现的。TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

    基于应用层

    应用层包括SMTP,HTTP,DNS等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源。

    防止攻击:

    总体来说,对DoS和DDoS的防范主要从下面几个方面考虑:
    尽可能对系统加载最新补丁,并采取有效的合规性配置,降低漏洞利用风险;
    采取合适的安全域划分,配置防火墙、入侵检测和防范系统,减缓攻击。
    采用分布式组网、负载均衡、提升系统容量等可靠性措施,增强总体服务能力。

    主机设置

    关闭不必要的服务
    限制同时打开的Syn半连接数目
    缩短Syn半连接的time out 时间
    及时更新系统补丁

    网络设置
    网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。
    1.防火墙
    禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。
    2.路由器
    设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server

     

    答题参考:

    1、采用高性能的网络设备引

    首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。 再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS 攻击是非常有效的。

    2、尽量避免 NAT 的使用

    无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换 NAT 的使用, 因为采用此技术会较大降低网络通信能力,其实原因很简单,因为 NA T 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间,但有些时候必须使用 NA T,那就没有好办法了。

    3、充足的网络带宽保证

    网络带宽直接决定了能抗受攻击的能力, 假若仅仅有 10M 带宽的话, 无论采取什么措施都很难对抗当今的 SYNFlood 攻击, 至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的, 若把它接在 100M 的交换机上, 它的实际带宽不会超过 100M, 再就是接在 100M的带宽上也不等于就有了百兆的带宽, 因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。

    4、升级主机服务器硬件

    在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒 10 万个 SYN 攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是 CPU 和内存, 若有志强双 CPU 的话就用它吧, 内存一定要选择 DDR 的高速内存, 硬盘要尽量选择SCSI 的,别只贪 IDE 价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用 3COM 或 Intel 等名牌的,若是 Realtek 的还是用在自己的 PC 上吧。

    5、把网站做成静态页面

    大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到为止关于 HTML 的溢出还没出现,新浪、搜狐、网易等门户网站主要都是静态页面, 若你非需要动态脚本调用, 那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器, 当然, 适当放一些不做数据库调用脚本还是可以的, 此外,最好在需要调用数据库的脚本中拒绝使用代理的访问, 因为经验表明使用代理访问你网站的80%属于恶意行为。

     

    展开全文
  • 首先,对网络日志中提取出的IP地址进行可视分析,设计完整的可视方案,通过采取有效的可视化方法,利用网页语言工具,将网络日志数据以图形的形式有效表示出来。其次,使用IP地址作为分析中心,分别以源IP、目的IP...
  • 分布式拒绝服务(distributed denial of service,DDoS )攻击严重威胁了网络的安全性。网络攻击的攻击树建模方法是卡内基梅隆大学提出的一种以结构化、可重用的方式来描述攻击信息建模方法;介绍了攻击树建模方法,研究...
  • 分布式拒绝服务攻击研究综述
  • DDoS攻击,指借助于C/S技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。 通常,攻击者将DDoS主控程序安装在其所拥有的计算机,或使用通过非法手段获取到...
  • 简介:分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常...
  • 文章目录DDOS攻击(分布式拒绝服务)原理:攻击者想办法让目标服务器的磁盘空间、内存、进程、网络带宽等资源被占满,从而导致正常用户无法访问。危害类型防御附:IP Spoof: 即IP地址欺骗,是一台主机设备冒充另外一...
  • 分布式拒绝服务攻击

    2013-05-17 00:32:38
    详细介绍了分布式拒绝服务攻击的步骤,及预防
  • 应用层分布式拒绝服务攻击检测模型,谢逸,余顺争,随着攻击者所拥有的网络资源与技术的不断增长, 分布式拒绝服务(Distributed Denial of Service, DDoS)攻击对现代网络安全形成了新的挑战. 传统�
  • 拒绝服务攻击(Denial of Service,DoS)是网络上最常见的一种攻击方式,其攻击类型繁多、影响广泛,其中的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)更是严重威胁网络安全,受到这种攻击的损失是无法...
  • 分布式拒绝服务攻击(DDOS)

    千次阅读 2017-09-14 11:34:38
    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个...
  • DDOS分布式拒绝服务攻击

    千次阅读 2019-04-04 16:22:04
    分布式拒绝服务攻击 同义词DDOS一般指分布式拒绝服务攻击 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击...
  • #资源达人分享计划#
  • #资源达人分享计划#
  • #资源达人分享计划#
  • 拒绝服务攻击(Denial of Service,DoS)是网络上最常见的一种攻击方式,其攻击类型繁多、影响广泛,其中的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)更是严重威胁网络安全,受到这种攻击的损失是...
  • #资源达人分享计划#
  • #资源达人分享计划#
  • #资源达人分享计划#
  • #资源达人分享计划#
  • #资源达人分享计划#
  • 分析了分布式拒绝服务(DDoS)攻击的特点,定义了能够反映 DDoS攻击所引起的网络流量变化特点 的流连接密度(FCD)概念,并证明了 FCD时间序列的非平稳特性 .据此,提出了一种基于 FCD的 DDoS攻 击检测方法,该方法通过拟合 ...
  • 提出一种基于应用层协议用户行为统计特征的快速攻击检测算法,能在高速网络环境中快速识别异常聚集流量,区分正常访问和应用层分布式拒绝服务攻击。该方法使用有限状态自动机理论描述了应用层协议正常用户行为和攻击...
  • 本文是由编写分布式拒绝服务攻击工具TFN和TFN2K(这些工具曾被用于攻击Yahoo等大型网站)的德国著名黑客Mixter(年仅20岁)提供。 简单地说,掌握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安全漏洞是非.....

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 79,873
精华内容 31,949
关键字:

分布式拒绝服务

友情链接: day01_phone_client.rar