我們大多數(shù)人第一眼看到這個(gè)DDOS都不懂�����。事實(shí)上�����,簡(jiǎn)單通俗地說���,DDOS攻擊就是利用帶寬流量來攻擊服務(wù)器和網(wǎng)站����。
比如服務(wù)器當(dāng)前的帶寬是100M����,突然有200M帶寬的流量從外部進(jìn)來,服務(wù)器根本承受不了這200M帶寬的流量�,服務(wù)器的網(wǎng)絡(luò)瞬間就會(huì)癱瘓,這會(huì)讓服務(wù)器無法連接����,甚至?xí)尫⻊?wù)器中的網(wǎng)站無法打開���,因?yàn)?00M帶寬的流量已經(jīng)占用了整個(gè)服務(wù)器的100M帶寬。
再舉一個(gè)更通常的例子:一家餐廳通����?梢匀菁{100人用餐。因?yàn)橥懈?jìng)爭(zhēng)��,對(duì)面餐廳的老板雇了200個(gè)社會(huì)小混混在餐廳吃飯�,導(dǎo)致餐廳里顧客爆滿,無法接受正�?腿藖聿蛷d吃飯。這就是DDOS攻擊���,利用流量占用服務(wù)器的帶寬�,導(dǎo)致沒有額外的帶寬為用戶提供網(wǎng)站訪問
DDOS流量攻擊的種類很多�,包括UDP-flood流量攻擊、TCP-flood流量攻擊�����、ICMP-flood流量攻擊、TCP/UPD/ICMP分片流量攻擊��、SYN-flood流量攻擊���、ACK-flood流量攻擊、zeroWindow攻擊�����、SSL-flood攻擊����、SSLkeyrenego攻擊、DNS反射放大流量攻擊����、NTS反射、NTP反射和SNMP���。
UDP-flood是UDP協(xié)議中的一種流量攻擊�����,其特點(diǎn)是偽造大量真實(shí)IP��,向被攻擊服務(wù)器發(fā)送少量數(shù)據(jù)包�。只要服務(wù)器打開UDP端口,就會(huì)受到流量的攻擊���。如何防御這種流量攻擊����,設(shè)置UDP的數(shù)據(jù)包數(shù)據(jù)大小�,嚴(yán)格控制要發(fā)送的數(shù)據(jù)包大小,丟棄超過一定值的數(shù)據(jù)包��。另一種防御方法是只能發(fā)送帶有TCP鏈接的IP��,否則可以直接攔截該IP�。
Icmp是一種利用ICMP協(xié)議PING服務(wù)器,放大ICMP的長(zhǎng)度和數(shù)據(jù)包的字節(jié)來攻擊服務(wù)器的攻擊�。TCP-flood攻擊是一種使用TCP三次握手協(xié)議的攻擊。特殊攻擊是偽造大量真實(shí)的IP連接到被攻擊的服務(wù)器��,導(dǎo)致服務(wù)器無法承載更多的TCP連接����,服務(wù)器癱瘓。
SYN-Flood使用SYN協(xié)議在客戶端協(xié)議上發(fā)送SYN數(shù)據(jù)����,服務(wù)器接收并響應(yīng)SYN和ACK響應(yīng)���。攻擊者利用這種方法模擬大量客戶端連接發(fā)送數(shù)據(jù)包,導(dǎo)致服務(wù)器癱瘓���。
ACK-Flood的攻擊類似于上面SYN的攻擊����。向服務(wù)器發(fā)送數(shù)據(jù)包也是同樣的方式�����。攻擊者使用確認(rèn)包進(jìn)行攻擊����。只要服務(wù)器接受ACK包���,就會(huì)導(dǎo)致ACK連接過多����,從而導(dǎo)致服務(wù)器資源耗盡�����。服務(wù)器沒有額外的資源來接收確認(rèn)包,因此無法打開服務(wù)器��。
SSL-Flood是利用客戶端不斷的與SSL通道握手����,SSL的資源比普通的用戶訪問HTTP網(wǎng)站消耗的資源還要多,會(huì)多出幾十倍�����,配置低的服務(wù)器根本無法承載SSL的多次請(qǐng)求與握手�,導(dǎo)致服務(wù)器的CPU占用到百分之90,沒有多余的CPU去處理用戶的訪問���。SSL流量攻擊如何防御:禁用Renegotiating的安全機(jī)制來防御大量的SSL流量攻擊��。
反射放大性流量攻擊
反射性的攻擊����,不管是DNS反射還是NTP反射��,都是使用的UDP協(xié)議攻擊����,UDP協(xié)議里訪問用戶發(fā)送請(qǐng)求的數(shù)據(jù)包到服務(wù)器���,服務(wù)器再反饋給用戶端,那么用戶端發(fā)送到服務(wù)器里的請(qǐng)求數(shù)據(jù)包里�����,用戶的IP可以進(jìn)行偽造��,可以偽造成服務(wù)器的IP���,服務(wù)器IP發(fā)送數(shù)據(jù)包到服務(wù)器IP里,這樣就造成了反射攻擊��。
DNS反射攻擊也是一樣的道理����,利用DNS服務(wù)器的解析進(jìn)行攻擊,偽造要攻擊的服務(wù)器IP����,進(jìn)行DNS查詢,并查詢到DNS服務(wù)器里�,DNS服務(wù)器返回?cái)?shù)據(jù)包到要攻擊的服務(wù)器IP中去���,一來一去形成了反射流量攻擊。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
