DDOS攻击:中文全称分布式拒绝服务攻击,英文全称分布式拒绝服务。我把DDOS攻击按照攻击方式分为三类,一类是带宽阻塞攻击,过多的数据包阻塞了服务器或服务器组的出口,使正常访问无法进行或对目标服务的访问变慢;第二种是资源耗尽攻击,通过各种数据包消耗系统资源,如连接、磁盘存储、内存等。,使得正常用户的业务访问无法正常进行;第三类是格式错误的数据包攻击,使目标主机在收到消息后读取消息内容时崩溃。
DDoS攻击手段是基于传统DoS攻击的一种攻击手段。单次DoS攻击一般是一对一的,在目标CPU速度、内存或网络带宽较低时效果明显。随着计算机和网络技术的发展,计算机的处理能力迅速增加,内存磁盘大大增加,网络带宽也迅速增加,这使得DoS攻击更加困难。这时,分布式拒绝服务攻击应运而生。DDoS就是用更多的傀儡机发动攻击,比以前更大规模的攻击受害者。
DDOS攻击因其易于实施、难以防范、难以追踪而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击将是未来信息战的重要手段之一。
分布式拒绝服务攻击中的分布式是指借助客户机/服务器技术,将多台计算机组合成一个攻击平台,对一个或多个目标发起DoS攻击,从而成倍增加拒绝服务攻击的威力。通常,攻击者使用一个被盗的帐户在一台计算机上安装DDoS主程序,并使用自己的方法在互联网上的多台计算机上安装被指控的代理。在一个设定的时间点,主程序会与大量的代理进行通信,激活代理,当代理收到指令时发起攻击。就目前的技术而言,主控程序可以在几秒钟内激活代理程序运行数百次,并根据攻击者发出的指令进行攻击。从攻击者的角度来看,大多数代理发送的攻击流量与正常流量没有明显的区别,这使得阻止DDOS攻击非常困难。
以上描述了什么是DDOS攻击,以下描述了常见DDOS攻击的攻击原理。
Syn flood:利用TCP三次握手的弱点。具体方法如下:攻击主机向目标主机发送SYN消息发起TCP连接,但攻击主机没有回复最后一条ack消息,导致TCP握手无法完成,目标主机需要在TCP握手中分配资源来维护这些未完成的连接。当此类连接达到一定数量时,目标主机将无法再响应其他连接请求。通过将syn位设置为1,然后连接到目标主机的可用服务的端口,可以很容易地构造Synflood消息。
UDP flood:因为UDP协议是无连接的,所以不能占用目标主机的连接数,只能通过发送大量UDP报文来占用目标主机的带宽。通常可以认为是自杀攻击,因为在发送消息的过程中,不仅目标主机的带宽被占用,发送主机的带宽也会受到严重影响。只要同时发送足够多的UDP消息,就可以在没有特殊设置的情况下形成Udpflood消息。
ICMP flood:原理和UDPflood一样,区别是ICMP消息加载在消息中。
CC攻击:大量HTTP Get/Post请求发送给受害者,主要是请求动态页面,涉及数据库访问操作,消耗受害者服务器的有效资源,从而无法响应正常请求。
IPS sweep:严格来说,IPS sweep不能算是正式攻击。IPsweep的过程只是向每个地址发送ping数据包,等待响应,从而检测网络中幸存的主机,为下一次攻击做准备。
端口扫描:一种端口扫描方法。方法是向指定端口发送SYN消息,发起TCP连接。如果主机返回SYN+ACK,说明该端口上对应的服务是开放的。如果主机返回RST,这意味着该端口上没有服务在侦听。
陆地:陆地攻击主要有两种方法:IP欺骗和SYNflood。陆地攻击的原理是在IP报头中同时填入目标主机的IP作为源地址和目的地址,然后封装一条SYN TCP报文发送出去。这样,接收消息的主机就要响应源地址的SYN,维持未完成的连接,源地址就是它自己。因此,如果这个循环继续下去,主机最终将耗尽资源,无法响应请求。
Smurf:Smurf攻击是一种结合IP欺骗和泛洪攻击的攻击方法。首先,消息的内容被构造为要响应的特定请求,消息的源地址被伪造为要攻击的目标主机。收到消息的主机会对消息进行响应,所有的响应消息都会发送到伪造的源地址。通常为了产生更大的消息流量,会将目标地址构造为一个子网的广播地址,这样只要发送一条消息,就可以产生一个子网的流量,攻击效果更加明显。与传统的洪泛攻击相比,smurf攻击不占用自己的带宽,有利于隐藏自己的地址。
PING of death:正常IP报文长度不能超过65535字节,由IP头的16位长度字段决定。系统收到超过65535字节的IP报文会出错。但是由于IP碎片和偏移量的存在,我们可以生成65535字节以上的IP报文。首先,13位偏移量的最大值是8191,这意味着它可以表示65528的最大偏移量。同时我们知道IP片段的最后一条消息没有偏移量,但是每条消息都有自己的消息长度。然后碎片化的报文到达目的地后需要重新组合。重新组合的IP消息的长度是最大偏移量加上最后一条消息的长度。虽然偏移量被限制为65528,但是单个消息的长度可以非常大,例如1000。那么最后重组的消息长度是65528+1000=66528,超过了65535的限制。那么接收这种消息的主机可能会崩溃。
WinNuke:对windows系统的DoS攻击。攻击消息中设置了URG,目标端口设置为port 139,这是netbios协议的端口。当这样的消息被发送到目标主机时,netbios片段将重叠并导致主机崩溃。
IP选项攻击:IP选项是IP报文头中的可选信息,可以携带调试控制信息,也可以携带一些路由信息或安全信息。但实际上,IP选项信息在通信中基本是不需要的,一般路由器收到后都会选择丢弃。如果IP选项配置错误& mdash& mdash例如,配置不完整,字段不完整& mdash& mdash接收消息的主机将出现错误。
泪滴:使用IP片段重组的攻击。在IP报头的偏移字段中,它本身指示片段相对于非片段消息的数据的偏移。如果第二个片段消息的偏移量小于接收到的消息中前一个消息的长度,在片段重组时会消耗主机巨大的资源,导致无法响应正常的服务。
Targa3:发送长度、标识、地址、端口等随机的分片报文。到目标主机,导致目标主机的协议栈在处理这些不规则数据时崩溃,影响正常的服务提供。
IP欺骗:构造数据报文时,修改IP头的源地址,改为其他IP地址。这种方法通常被用作一些攻击的辅助手段,隐藏自己的地址,将攻击引导到目标主机。典型的应用是smurf攻击。
PS: DDOS攻击流量多种多样,很多DDOS攻击是预设的防御策略无法阻止的。一般在发现攻击后,人工分析攻击包的特征,进行有针对性的防御。
