分布式拒絕服務攻擊的精髓是:利用分布式的客戶端,向目標發(fā)起大量看上去合法的請求�,消耗或者占用大量資源,從而達到拒絕服務的目的���。
DDoS攻擊
其主要攻擊方法有4種:
1��、 攻擊帶寬
跟帝都的交通堵塞情況一樣�,大家都該清楚�����,當網(wǎng)絡數(shù)據(jù)包的數(shù)量達到或者超過上限的時候��,會出現(xiàn)網(wǎng)絡擁堵���、響應緩慢的情況�。DDoS就是利用這個原理���,發(fā)送大量網(wǎng)絡數(shù)據(jù)包��,占滿被攻擊目標的全部帶寬��,從而造成正常請求失效���,達到拒絕服務的目的����。
攻擊者可以使用ICMP洪水攻擊(即發(fā)送大量ICMP相關報文)�����、或者UDP洪水攻擊(即發(fā)送用戶數(shù)據(jù)報協(xié)議的大包或小包)�����,使用偽造源IP地址方式進行隱匿�����,并對網(wǎng)絡造成擁堵和服務器響應速度變慢等影響�����。
但是這種直接方式通常依靠受控主機本身的網(wǎng)絡性能�,所以效果不是很好��,還容易被查到攻擊源頭。于是反射攻擊就出現(xiàn)�����,攻擊者使用特殊的數(shù)據(jù)包�����,也就是IP地址指向作為反射器的服務器��,源IP地址被偽造成攻擊目標的IP�,反射器接收到數(shù)據(jù)包的時候就被騙了,會將響應數(shù)據(jù)發(fā)送給被攻擊目標���,然后就會耗盡目標網(wǎng)絡的帶寬資源�。
2�、 攻擊系統(tǒng)
創(chuàng)建TCP連接需要客戶端與服務器進行三次交互,也就是常說的“三次握手”��。這個信息通常被保存在連接表結構中��,但是表的大小有限��,所以當超過了存儲量,服務器就無法創(chuàng)建新的TCP連接了���。
攻擊者就是利用這一點�,用受控主機建立大量惡意的TCP連接�,占滿被攻擊目標的連接表,使其無法接受新的TCP連接請求���。如果攻擊者發(fā)送了大量的TCP SYN報文��,使服務器在短時間內(nèi)產(chǎn)生大量的半開連接���,連接表也會被很快占滿,導致無法建立新的TCP連接���,這個方式是SYN洪水攻擊��,很多攻擊者都比較常用�。
DDoS攻擊系統(tǒng)
3���、 攻擊應用
由于DNS和Web服務的廣泛性和重要性�����,這兩種服務就成為了消耗應用資源的分布式拒絕服務攻擊的主要目標����。
比如向DNS服務器發(fā)送大量查詢請求�����,從而達到拒絕服務的效果����,如果每一個DNS解析請求所查詢的域名都是不同的,那么就有效避開服務器緩存的解析記錄�����,達到更好的資源消耗效果�。當DNS服務的可用性受到威脅,互聯(lián)網(wǎng)上大量的設備都會受到影響而無法正常使用���。
近些年���,Web技術發(fā)展非常迅速,如果攻擊者利用大量的受控主機不斷地向Web服務器惡意發(fā)送大量HTTP請求�����,要求Web服務器處理,就會完全占用服務器資源�����,讓正常用戶的Web訪問請求得不到處理���,導致拒絕服務�����。一旦Web服務受到這種攻擊�,就會對其承載的業(yè)務造成致命的影響�����。
4��、 混合攻擊
在實際的生活中�,乖哦概念記者并不關心自己使用的哪種攻擊方法管用,只要能夠達到目的��,一般就會發(fā)動其所有的攻擊手段��,盡其所能的展開攻勢。對于被攻擊目標來說���,需要面對不同的協(xié)議�、不同資源的分布式拒絕服務攻擊�����,分析�����、響應和處理的成本就會大大增加�����。
隨著僵尸網(wǎng)絡向著小型化的趨勢發(fā)展�,為降低攻擊成本�,有效隱藏攻擊源,躲避安全設備��,同時保證攻擊效果��,針對應用層的小流量慢速攻擊已經(jīng)逐步發(fā)展壯大起來����。因此����,從另一個角度來說��,DDoS攻擊方面目前主要是兩個方面:UDP及反射式大流量高速攻擊��、和多協(xié)議小流量及慢速攻擊���。
HACKER
也說說DDoS的攻擊工具
國人比較講究:工欲善其事必先利其器����。隨著開源的DDoS工具撲面而來��,網(wǎng)絡攻擊變得越來越容易����,威脅也越來越嚴重。 工具有很多�����,簡單介紹幾款知名的���,讓大家有個簡單了解��。
LOIC
LOIC
LOIC低軌道離子炮���,是一個最受歡迎的DOS攻擊的淹沒式工具��,會產(chǎn)生大量的流量�����,可以在多種平臺運行,包括Linux����、Windows、Mac OS�、Android等等。早在2010年����,黑客組織對反對維基解密的公司和機構的攻擊活動中,該工具就被下載了3萬次以上��。
LOIC界面友好����,易于使用��,初學者也可以很快上手��。但是由于該工具需要使用真實IP地址�����,現(xiàn)在Anonymous已經(jīng)停用了�。
HULK (HTTP Unbearable Load King)
3 d-呈現(xiàn)虛擬空間中的抽象代碼塊���。計算機代碼中的攝像頭
HULK
HULK是另一個DOS攻擊工具�����,這個工具使用UserAgent的偽造�����,來避免攻擊檢測��,可以通過啟動500線程對目標發(fā)起高頻率HTTP GET FLOOD請求���,牛逼的是每一次請求都是獨立的��,可以繞過服務端的緩存措施�,讓所有請求得到處理�����。HULK是用Python語言編寫�����,對獲得源碼進行更改也非常方便�����。
R.U.D.Y.
R-U-Dead-Yet是一款采用慢速HTTP POST請求方式進行DOS攻擊的工具���,它提供了一個交互式控制臺菜單,檢測給定的URL�,并允許用戶選擇哪些表格和字段應用于POST-based DOS攻擊,操作非常簡單�����。
R.U.D.Y.
而且它也使用的是Python語言編寫�,可移植性非常好��。R.U.D.Y.能夠?qū)λ蓄愋偷腤eb服務端軟件造成影響���,因此攻擊的威脅非常大。
這些工具在保持攻擊力的同時還再加強易用性��,而免費和開源降低了使用的門檻�����,相信隨著攻防對抗的升級����,工具會越來越智能化。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
