1.DDOS定义

DDOS是什么?分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

DDOS攻击又是什么呢?其实DDOS就是DDOS攻击,是同一种技术。DDOS全称为Distributed Denial of Service,中文名为分布式拒绝服务攻击,是一种常见的服务器攻击技术。

 

1.1DDOS攻击的原理

DDOS攻击最初被人们成为DOS(Denial of Service)攻击,DOS攻击的原理是:你有一台服务器,我有一台个人电脑,我就用我的个人电脑想你的服务器发送大量的垃圾信息,拥堵你的网络,并加大你处理数据的负担,降低服务器CPU和内存的工作效率。

随着科技的告诉发展,类似DOS这样一对一的攻击已经起不了什么作用了,于是DDOS—分布式拒绝服务攻击诞生了,其原理和DOS相同,不同之处在于DDOS攻击是多对一进行攻击,甚至达到数万台个人电脑在同一时间一DOS攻击的方式攻击一台服务器,最终导致被攻击的服务器瘫痪。

 

1.2 DDoS攻击目的:

(1)商业恶性竞争:

商业竞争在互联网这个万亿市场中尤为激烈。一些行业竞争者为了利益不择手段、不顾法纪,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的声誉,从中获取竞争优势。其中,电商行业和在线游戏行业是重灾区。

(2)敲诈勒索:

DDoS由于成本低、实施容易等特点,在较早期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。

1.3 DDos常见攻击类型

资源耗尽型:这种攻击消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙;带宽攻击的普遍形式是大量表面看合法的 TCP、UDP 或 ICMP 数据包被传送到特定目的地;为了使检测更加困难,这种攻击也常常使用源地址欺骗,并不停地变化。这种攻击相对而言更加难以防御,因为合法数据包和无效数据包看起来非常类似。,通常出现流量性攻击时,高防服务器能够对数据进行实时的监控并进行智能的识别与分流,在高防服务器的流量防御范围内都能对流量型的攻击进行很好的防御

导致异常型:利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求。HTTP 半开和 HTTP 错误就是应用攻击的两个典型例子,缓存溢出攻击-试图在一个缓存中存储超出其设计容量的数据。这种多出的数据可能会溢出到其他的缓存之中,破坏或者覆盖其中的有效数据。

应用层攻击——这种攻击的目标是应用或7层网络服务的某些方面。

常见的DDoS攻击类型有哪些

(1).TCP SYN泛洪攻击

通常在进行 TCP 连接需要进行三次握手。当客户端向服务端发出请求时,首先会发送一个 TCP SYN 数据包。而后,服务器分配一个控制块,并响应一个 SYN ACK 数据包。服务器随后将等待从客户端收到一个 ACK 数据包。如果服务器没有收到ACK 数据包,TCP连接将处于半开状态,直到服务器从客户端收到ACK数据包或者连接因为 time-to-live(TTL)计时器设置而超时为止。在连接超时的情况下,事先分配的控制块将被释放。当一个攻击者有意地、重复地向服务器发送 SYN 数据包,但不对服务器发回的SYN ACK 数据包答复 ACK 数据包时,就会发生 TCP SYN 泛洪攻击。这时,服务器将会失去对资源的控制,无法建立任何新的合法TCP连接。

(2).UDP flood

UDP flood 又称UDP洪水攻击或UDP淹没攻击,UDP是没有连接状态的协议,因此可以发送大量的 UDP 包到某个端口,如果是个正常的UDP应用端口,则可能干扰正常应用,如果是没有正常应用,服务器要回送ICMP,这样则消耗了服务器的处理资源,而且很容易阻塞上行链路的带宽。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。在UDPFLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击,正常应用情况下,UDP包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现UDPFlood的情况下,针对同一目标IP的UDP包在一侧大量出现,并且内容和大小都比较固定。

(3).ICMP flood

ICMP flood是通过 通过高速发送大量的ICMP Echo Reply数据包,导致目标网络的带宽瞬间就会被耗尽,阻止合法的数据通过网络。ICMP Echo Reply数据包具有较高的优先级,在一般情况下,网络总是允许内部主机使用PING命令。这将导致系统不断地保留它的资源,直到无法再处理有效的网络流量。攻击者可以通过发送一个伪造的ICMP Destination Unreachable或Redirect消息来终止合法的网络连接。更具恶意的攻击,如puke和smack,会给某一个范围内的端口发送大量的数据包,毁掉大量的网络连接,同时还会消耗受害主机CPU的时钟周期。还有一些攻击使用ICMP Source Quench消息,导致网络流量变慢,甚至停止。Redirect和Router Announcement消息被利用来强制受害主机使用一个并不存在的路由器,或者把数据包路由到攻击者的机器,进行攻击。

(4).Smurf 攻击

Smurf 攻击的主要方式为攻击者会向接收站点中的一个广播地址发送一个IP ICMP ping(即“请回复我的消息”)。Ping 数据包随后将被广播到接收站点的本地网络中的所有主机。该数据包包含一个“伪装的”源地址,即该DoS攻击的对象的地址。每个收到此 ping 数据包的主机都会向伪装的源地址发送响应,从而导致这个无辜的、被伪装的主机收到大量的ping 回复。如果收到的数据量过大,这个被伪装的主机就将无法接收或者区分真实流量。

(5).Fraggle攻击

Fraggle攻击与Smurf攻击类似,只是利用UDP协议。攻击者掌握着大量的广播地址,并向这些地址发送假冒的UDP包,通常这些包是直接到目标主机的7号端口——也就是Echo端口,而另一些情况下它却到了Chargen端口,攻击者可以制造一个在这两个端口之间的循环来产生网络阻塞。

(6).Land

Land主要是采用目标和源地址相同的UDP包攻击目标。在Land攻击中,一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX实现将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。Land 攻击发生的条件是攻击者发送具有相同IP源地址、目标地址和TCP端口号的伪造TCP SYN数据包信息流。必须设置好SYN标记。其结果是该计算机系统将试图向自己发送响应信息,而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现Windows XP SP2和Windows 2003 的系统对这种攻击的防范还是非常薄弱的。事实上,Sun的操作系统的高防服务器BSD和Mac对这种攻击的防范都是非常薄弱的,所有这些系统都共享基于 TCP/IP 协议栈的BSD。

(7).Trinoo 攻击

的攻击方法是向被攻击目标主机的随机端口发出全零的4字节 UDP 包,在处理这些超出 其处理能力的垃圾数据包的过程中,被攻击主机的网络性能不断下降,直到不能提供正常服务,乃至崩溃。它对IP 地址不做假,采用的通讯端口是:攻击者主机到主控端主机:27665/TCP 主控端主机到代理端主机:27444/UDP 代理端主机到主服务器主机:31335/UDP.

(8).Stacheldraht

Stacheldraht是基于TFN和trinoo一样的客户机/服务器模式,其中Master程序与潜在的成千个代理程序进行通讯。在发动攻击时,侵入者与master程序进行连接。Stacheldraht增加了新的功能:攻击者与master程序之间的通讯是加密的,对命令来源做假,而且可以防范一些路由器用RFC2267过滤,若检查出有过滤现象,它将只做假IP地址最后8位,从而让用户无法了解到底是哪几个网段的哪台机器被攻击;同时使用rcp (remote copy,远程复制)技术对代理程序进行自动更新。Stacheldraht 同TFN一样,可以并行发动数不胜数的DoS攻击,类型多种多样,而且还可建立带有伪装源IP地址的信息包。Stacheldraht所发动的攻击包括UDP 冲击、TCP SYN 冲击、ICMP 回音应答冲击

(9).TFN2K

TFN2K 是由德国著名黑客Mixter编写的同类攻击工具 TFN 的后续版本,在 TFN 所具有的 特性上,TFN2K 又新增一些特性,TFN2K 通过主控端利用大量代理端主机的资源进行对一个 或多个目标进行协同攻击。当前互联网中的 UNIX、Solaris 和 Windows NT 等平台的主机能被 用于此类攻击,而且这个工具非常容易被移植到其它系统平台上。

(10).Ping of Death(死亡之ping 没啥用)

是一种拒绝服务攻击,方法是由攻击者故意发送大于65535字节的ip数据包给对方。 TCP/IP的特征之一是碎裂;它允许单一IP包被分为几个更小的数据包。在1996年,攻击者开始利用那一个功能,当他们发现一个进入使用碎片包可以将整个IP包的大小增加到ip协议允许的65536比特以上的时候。当许多操作系统收到一个特大号的ip包时候,它们不知道该做什么,因此,服务器会被冻结、当机或重新启动。ICMP的回送请求和应答报文通常是用来检查网路连通性,对于大多数系统而言,发送ICMP echo request 报文的命令是ping ,由于ip数据包的最大长度为65535字节。而ICMP报头位于数据报头之后,并与ip数据包封装在一起,因此ICMP数据包最大尺寸不超过65515字节利用这一规定,可以向主机发动 ping of death 攻击。ping of death 攻击 是通过在最后分段中,改变其正确的偏移量和段长度的组合,使系统在接收到全部分段并重组报文时总的长度超过了65535字节,导致内存溢出,这时主机就会出现内存分配错误而导致TCP/IP堆栈崩溃,导致死机。

(11).Tear drop

攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。对付这种类型得攻击最好的方法就是要及时为操作系统打补丁了,但是Teardrop攻击仍然会耗费处理器的资源和主机带宽。

(12).WinNuke攻击

WinNuke攻击又称“带外传输攻击”,它的特征是攻击目标端口,被攻击的目标端口通常是139,而且URG位设为1,即紧急模式。WinNuke攻击就是利用了Windows操作系统的一个漏洞,向这些端口发送一些携带TCP带外(OOB)数据报文,但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重合。这样Windows操作系统在处理这些数据的时候,就会崩溃。

如何防御这些攻击呢

站长建议直接上高防(手动滑稽)

CDN也可以防御

阿里云等大厂推出了SCDN(点击链接详细查看)

1.本文部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。 2.若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。 3.如果本站有侵犯、不妥之处的资源,请在网站最下方联系我们。将会第一时间解决! 4.本站所有内容均由互联网收集整理、网友上传,仅供大家参考、学习,不存在任何商业目的与商业用途。 5.本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与商业和非法行为,请在24小时之内自行删除!
舜云资源 » DDos攻击解析

发表评论

发表评论

提供最优质的资源集合

立即查看 了解详情