拒絕服務(wù)攻擊(DDOS)亦稱洪水攻擊�����,是一種網(wǎng)絡(luò)攻擊手法��,其目的在于使目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)或系統(tǒng)資源耗盡��,使服務(wù)暫時中斷或停止��,導(dǎo)致其正常用戶無法訪問���。當(dāng)黑客使用網(wǎng)絡(luò)上兩個或以上被攻陷的計(jì)算機(jī)作為“僵尸”向特定的目標(biāo)發(fā)動“拒絕服務(wù)”式攻擊時,稱為分布式拒絕服務(wù)攻擊(distributed denial-of-service attack����,簡稱 DDoS 攻擊)��。
據(jù) 2014 年統(tǒng)計(jì)��,被確認(rèn)為大規(guī)模 DDoS 的攻擊已達(dá)平均每小時 28 次��。DDoS 發(fā)起者一般針對重要服務(wù)和知名網(wǎng)站進(jìn)行攻擊,如銀行���、信用卡支付網(wǎng)關(guān)����、甚至根域名服務(wù)器等���。
DoS 也常見于部分網(wǎng)絡(luò)游戲����,被心懷不滿的玩家或是競爭對手廣泛使用�。DoS 也常被用于抗議,自由軟件基金會創(chuàng)辦人理查德·斯托曼曾表示���,DoS 是“網(wǎng)絡(luò)街頭抗議”的一種形式�����。
DDoS攻擊方式
DDoS 攻擊可以具體分成兩種形式:帶寬消耗型以及資源消耗型��。它們都是透過大量合法或偽造的請求占用大量網(wǎng)絡(luò)以及器材資源��,以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的�����。
帶寬消耗型攻擊
DDoS 帶寬消耗攻擊可以分為兩個不同的層次�����;洪泛攻擊或放大攻擊��。洪泛攻擊的特點(diǎn)是利用僵尸程序發(fā)送大量流量至受損的受害者系統(tǒng)�,目的在于堵塞其帶寬。放大攻擊與其類似�����,是通過惡意放大流量限制受害者系統(tǒng)的帶寬��;其特點(diǎn)是利用僵尸程序通過偽造的源 IP(即攻擊目標(biāo) IP)向某些存在漏洞的服務(wù)器發(fā)送請求����,服務(wù)器在處理請求后向偽造的源 IP 發(fā)送應(yīng)答,由于這些服務(wù)的特殊性導(dǎo)致應(yīng)答包比請求包更長����,因此使用少量的帶寬就能使服務(wù)器發(fā)送大量的應(yīng)答到目標(biāo)主機(jī)上��。
UDP 洪水攻擊(User Datagram Protocol floods)
UDP(用戶數(shù)據(jù)報協(xié)議)是一種無連接協(xié)議,當(dāng)數(shù)據(jù)包通過 UDP 發(fā)送時�,所有的數(shù)據(jù)包在發(fā)送和接收時不需要進(jìn)行握手驗(yàn)證。當(dāng)大量 UDP 數(shù)據(jù)包發(fā)送給受害系統(tǒng)時����,可能會導(dǎo)致帶寬飽和從而使得合法服務(wù)無法請求訪問受害系統(tǒng)。遭受 DDoS UDP 洪泛攻擊時���,UDP 數(shù)據(jù)包的目的端口可能是隨機(jī)或指定的端口�,受害系統(tǒng)將嘗試處理接收到的數(shù)據(jù)包以確定本地運(yùn)行的服務(wù)�����。如果沒有應(yīng)用程序在目標(biāo)端口運(yùn)行�,受害系統(tǒng)將對源 IP 發(fā)出 ICMP 數(shù)據(jù)包,表明“目標(biāo)端口不可達(dá)”��。某些情況下����,攻擊者會偽造源 IP 地址以隱藏自己,這樣從受害系統(tǒng)返回的數(shù)據(jù)包不會直接回到僵尸主機(jī)�,而是被發(fā)送到被偽造地址的主機(jī)。有時 UDP 洪泛攻擊也可能影響受害系統(tǒng)周圍的網(wǎng)絡(luò)連接����,這可能導(dǎo)致受害系統(tǒng)附近的正常系統(tǒng)遇到問題�。然而����,這取決于網(wǎng)絡(luò)體系結(jié)構(gòu)和線速。
ICMP 洪水攻擊(ICMP floods)
ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)洪水攻擊是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法��。
死亡之 Ping(ping of death)
死亡之 Ping 是產(chǎn)生超過 IP 協(xié)議能容忍的數(shù)據(jù)包數(shù)����,若系統(tǒng)沒有檢查機(jī)制,就會死機(jī)�����。
淚滴攻擊
每個數(shù)據(jù)要發(fā)送前�,該數(shù)據(jù)包都會經(jīng)過切割,每個小切割都會記錄位移的信息�,以便重組,但此攻擊模式就是捏造位移信息��,造成重組時發(fā)生問題�����,造成錯誤�。
資源消耗型攻擊
協(xié)議分析攻擊(SYN flood,SYN 洪水)
傳送控制協(xié)議(TCP)同步(SYN)攻擊����。TCP 進(jìn)程通常包括發(fā)送者和接受者之間在數(shù)據(jù)包發(fā)送之前創(chuàng)建的完全信號交換。啟動系統(tǒng)發(fā)送一個 SYN 請求�,接收系統(tǒng)返回一個帶有自己 SYN 請求的 ACK(確認(rèn))作為交換。發(fā)送系統(tǒng)接著傳回自己的 ACK 來授權(quán)兩個系統(tǒng)間的通訊���。若接收系統(tǒng)發(fā)送了 SYN 數(shù)據(jù)包��,但沒接收到 ACK���,接受者經(jīng)過一段時間后會再次發(fā)送新的 SYN 數(shù)據(jù)包。接受系統(tǒng)中的處理器和內(nèi)存資源將存儲該 TCP SYN 的請求直至超時�。DDoS TCP SYN 攻擊也被稱為“資源耗盡攻擊”,它利用 TCP 功能將僵尸程序偽裝的 TCP SYN 請求發(fā)送給受害服務(wù)器�,從而飽和服務(wù)處理器資源并阻止其有效地處理合法請求。它專門利用發(fā)送系統(tǒng)和接收系統(tǒng)間的三向信號交換來發(fā)送大量欺騙性的原 IP 地址 TCP SYN 數(shù)據(jù)包給受害系統(tǒng)�。最終,大量 TCP SYN 攻擊請求反復(fù)發(fā)送�����,導(dǎo)致受害系統(tǒng)內(nèi)存和處理器資源耗盡,致使其無法處理任何合法用戶的請求�。
LAND 攻擊
這種攻擊方式與 SYN floods 類似,不過在 LAND 攻擊包中的原地址和目標(biāo)地址都是攻擊對象的 IP��。這種攻擊會導(dǎo)致被攻擊的機(jī)器死循環(huán)�,最終耗盡資源而死機(jī)。
CC 攻擊(Distributed HTTP flood�,分布式 HTTP 洪水攻擊)
CC 攻擊是 DDoS 攻擊的一種類型,使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請求(通常使用 HTTP GET)�。CC(Challenge Collapsar,挑戰(zhàn)黑洞)根據(jù)其工具命名��,攻擊者創(chuàng)造性地使用代理機(jī)制����,利用眾多廣泛可用的免費(fèi)代理服務(wù)器發(fā)動 DDoS 攻擊。許多免費(fèi)代理服務(wù)器支持匿名模式�����,這使追蹤變得非常困難���。
僵尸網(wǎng)絡(luò)攻擊
僵尸網(wǎng)絡(luò)是指大量被命令與控制(C&C)服務(wù)器所控制的互聯(lián)網(wǎng)主機(jī)群�。攻擊者傳播惡意軟件并組成自己的僵尸網(wǎng)絡(luò)。僵尸網(wǎng)絡(luò)難于檢測的原因是���,僵尸主機(jī)只有在執(zhí)行特定指令時才會與服務(wù)器進(jìn)行通訊���,使得它們隱蔽且不易察覺�����。僵尸網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)通訊協(xié)議的不同分為 IRC�、HTTP 或 P2P 類等。
應(yīng)用程序級洪水攻擊(Application level floods)
與前面敘說的攻擊方式不同����,應(yīng)用程序級洪水攻擊主要是針對應(yīng)用軟件層的,也就是高于 OSI 的���。它同樣是以大量消耗系統(tǒng)資源為目的�����,通過向 IIS 這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡(luò)服務(wù)����。
DDoS防御方式
拒絕服務(wù)攻擊的防御方式通常為入侵檢測,流量過濾和多重驗(yàn)證�,旨在堵塞網(wǎng)絡(luò)帶寬的流量將被過濾,而正常的流量可正常通過��。
防火墻
防火墻可以設(shè)置規(guī)則�,例如允許或拒絕特定通訊協(xié)議,端口或 IP 地址��。當(dāng)攻擊從少數(shù)不正常的 IP 地址發(fā)出時����,可以簡單的使用拒絕規(guī)則阻止一切從攻擊源 IP 發(fā)出的通信。
復(fù)雜攻擊難以用簡單規(guī)則來阻止���,例如 80 端口(網(wǎng)頁服務(wù))遭受攻擊時不可能拒絕端口所有的通信����,因?yàn)槠渫瑫r會阻止合法流量��。此外����,防火墻可能處于網(wǎng)絡(luò)架構(gòu)中過后的位置,路由器可能在惡意流量達(dá)到防火墻前即被攻擊影響����。然而���,防火墻能有效地防止用戶從啟動防火墻后的計(jì)算機(jī)發(fā)起攻擊。
交換機(jī)
大多數(shù)交換機(jī)有一定的速度限制和訪問控制能力���。有些交換機(jī)提供自動速度限制���、流量整形��、后期連接��、深度包檢測和假 IP 過濾功能��,可以檢測并過濾拒絕服務(wù)攻擊���。例如 SYN 洪水攻擊可以通過后期連接加以預(yù)防�������;趦(nèi)容的攻擊可以利用深度包檢測阻止���。
路由器
和交換機(jī)類似�,路由器也有一定的速度限制和訪問控制能力���,而大多數(shù)路由器很容易受到攻擊影響��。
黑洞引導(dǎo)
黑洞引導(dǎo)指將所有受攻擊計(jì)算機(jī)的通信全部發(fā)送至一個“黑洞”(空接口或不存在的計(jì)算機(jī)地址)或者有足夠能力處理洪流的網(wǎng)絡(luò)設(shè)備商�����,以避免網(wǎng)絡(luò)受到較大影響���。
流量清洗
當(dāng)流量被送到 DDoS 防護(hù)清洗中心時,通過采用抗 DDoS 軟件處理���,將正常流量和惡意流量區(qū)分開�。正常的流量則回注回客戶網(wǎng)站�����。這樣一來可站點(diǎn)能夠保持正常的運(yùn)作����,處理真實(shí)用戶訪問網(wǎng)站帶來的合法流量����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
