拒絕服務攻擊(DDOS)亦稱洪水攻擊�,是一種網絡攻擊手法����,其目的在于使目標計算機的網絡或系統資源耗盡�����,使服務暫時中斷或停止��,導致其正常用戶無法訪問��。
拒絕服務攻擊(DDOS)亦稱洪水攻擊�����,是一種網絡攻擊手法�,其目的在于使目標計算機的網絡或系統資源耗盡��,使服務暫時中斷或停止�����,導致其正常用戶無法訪問���。當黑客使用網絡上兩個或以上被攻陷的計算機作為“僵尸”向特定的目標發動“拒絕服務”式攻擊時����,稱為分布式拒絕服務攻擊(distributed denial-of-service attack�����,簡稱 DDoS 攻擊)����。
據 2014 年統計�,被確認為大規模 DDoS 的攻擊已達平均每小時 28 次���。DDoS 發起者一般針對重要服務和知名網站進行攻擊����,如銀行�、信用卡支付***��、甚至根域名服務器等�。
DoS 也常見于部分網絡游戲����,被心懷不滿的玩家或是競爭對手廣泛使用�。DoS 也常被用于抗議�,自由軟件基金會創辦人理查德·斯托曼曾表示��,DoS 是“網絡街頭抗議”的一種形式���。
攻擊方式
DDoS 攻擊可以具體分成兩種形式:帶寬消耗型以及資源消耗型���。它們都是透過大量合法或偽造的請求占用大量網絡以及器材資源���,以達到癱瘓網絡以及系統的目的�����。
帶寬消耗型攻擊
DDoS 帶寬消耗攻擊可以分為兩個不同的層次��;洪泛攻擊或放大攻擊��。洪泛攻擊的特點是利用僵尸程序發送大量流量至受損的受害者系統�����,目的在于堵塞其帶寬���。放大攻擊與其類似�,是通過惡意放大流量限制受害者系統的帶寬��;其特點是利用僵尸程序通過偽造的源 IP(即攻擊目標 IP)向某些存在漏洞的服務器發送請求���,服務器在處理請求后向偽造的源 IP 發送應答���,由于這些服務的特殊性導致應答包比請求包更長����,因此使用少量的帶寬就能使服務器發送大量的應答到目標主機上���。
UDP 洪水攻擊(User Datagram Protocol floods)
UDP(用戶數據報協議)是一種無連接協議���,當數據包通過 UDP 發送時���,所有的數據包在發送和接收時不需要進行握手驗證�。當大量 UDP 數據包發送給受害系統時�,可能會導致帶寬飽和從而使得合法服務無法請求訪問受害系統����。遭受 DDoS UDP 洪泛攻擊時����,UDP 數據包的目的端口可能是隨機或指定的端口��,受害系統將嘗試處理接收到的數據包以確定本地運行的服務�����。如果沒有應用程序在目標端口運行�,受害系統將對源 IP 發出 ICMP 數據包����,表明“目標端口不可達”��。某些情況下����,攻擊者會偽造源 IP 地址以隱藏自己��,這樣從受害系統返回的數據包不會直接回到僵尸主機���,而是被發送到被偽造地址的主機��。有時 UDP 洪泛攻擊也可能影響受害系統周圍的網絡連接��,這可能導致受害系統附近的正常系統遇到問題��。然而��,這取決于網絡體系結構和線速����。
ICMP 洪水攻擊(ICMP floods)
ICMP(互聯網控制消息協議)洪水攻擊是通過向未良好設置的路由器發送廣播信息占用系統資源的做法��。
死亡之 Ping(ping of death)
死亡之 Ping 是產生超過 IP 協議能容忍的數據包數�,若系統沒有檢查機制�,就會死機�。
淚滴攻擊
每個數據要發送前�,該數據包都會經過切割����,每個小切割都會記錄位移的信息�����,以便重組�,但此攻擊模式就是捏造位移信息����,造成重組時發生問題�,造成錯誤�����。
資源消耗型攻擊
協議分析攻擊(SYN flood���,SYN 洪水)
傳送控制協議(TCP)同步(SYN)攻擊����。TCP 進程通常包括發送者和接受者之間在數據包發送之前創建的完全信號交換����。啟動系統發送一個 SYN 請求�����,接收系統返回一個帶有自己 SYN 請求的 ACK(確認)作為交換��。發送系統接著傳回自己的 ACK 來授權兩個系統間的通訊����。若接收系統發送了 SYN 數據包��,但沒接收到 ACK�,接受者經過一段時間后會再次發送新的 SYN 數據包�。接受系統中的處理器和內存資源將存儲該 TCP SYN 的請求直至超時����。DDoS TCP SYN 攻擊也被稱為“資源耗盡攻擊”�����,它利用 TCP 功能將僵尸程序偽裝的 TCP SYN 請求發送給受害服務器���,從而飽和服務處理器資源并阻止其有效地處理合法請求�����。它專門利用發送系統和接收系統間的三向信號交換來發送大量欺騙性的原 IP 地址 TCP SYN 數據包給受害系統���。最終�,大量 TCP SYN 攻擊請求反復發送�����,導致受害系統內存和處理器資源耗盡��,致使其無法處理任何合法用戶的請求���。
LAND 攻擊
這種攻擊方式與 SYN floods 類似�����,不過在 LAND 攻擊包中的原地址和目標地址都是攻擊對象的 IP�����。這種攻擊會導致被攻擊的機器死循環�,最終耗盡資源而死機�����。
CC 攻擊(Distributed HTTP flood���,分布式 HTTP 洪水攻擊)
CC 攻擊是 DDoS 攻擊的一種類型����,使用代理服務器向受害服務器發送大量貌似合法的請求(通常使用 HTTP GET)�����。CC(Challenge Collapsar�����,挑戰黑洞)根據其工具命名�,攻擊者創造性地使用代理機制�����,利用眾多廣泛可用的****服務器發動 DDoS 攻擊��。許多****服務器支持匿名模式����,這使追蹤變得非常困難��。
僵尸網絡攻擊
僵尸網絡是指大量被命令與控制(C&C)服務器所控制的互聯網主機群�。攻擊者傳播惡意軟件并組成自己的僵尸網絡���。僵尸網絡難于檢測的原因是��,僵尸主機只有在執行特定指令時才會與服務器進行通訊����,使得它們隱蔽且不易察覺�。僵尸網絡根據網絡通訊協議的不同分為 IRC���、HTTP 或 P2P 類等��。
應用程序級洪水攻擊(Application level floods)
與前面敘說的攻擊方式不同�,應用程序級洪水攻擊主要是針對應用軟件層的����,也就是高于 OSI 的�。它同樣是以大量消耗系統資源為目的�,通過向 IIS 這樣的網絡服務程序提出無節制的資源申請來迫害正常的網絡服務��。
防御方式
拒絕服務攻擊的防御方式通常為入侵檢測��,流量過濾和多重驗證�����,旨在堵塞網絡帶寬的流量將被過濾����,而正常的流量可正常通過�����。
防火墻
防火墻可以設置規則��,例如允許或拒絕特定通訊協議��,端口或 IP 地址���。當攻擊從少數不正常的 IP 地址發出時����,可以簡單的使用拒絕規則阻止一切從攻擊源 IP 發出的通信����。
復雜攻擊難以用簡單規則來阻止�,例如 80 端口(網頁服務)遭受攻擊時不可能拒絕端口所有的通信�����,因為其同時會阻止合法流量��。此外����,防火墻可能處于網絡架構中過后的位置�,路由器可能在惡意流量達到防火墻前即被攻擊影響��。然而�,防火墻能有效地防止用戶從啟動防火墻后的計算機發起攻擊��。
交換機
大多數交換機有一定的速度限制和訪問控制能力���。有些交換機提供自動速度限制���、流量整形�、后期連接���、深度包檢測和假 IP 過濾功能����,可以檢測并過濾拒絕服務攻擊����。例如 SYN 洪水攻擊可以通過后期連接加以預防�?;趦热莸墓艨梢岳蒙疃劝鼨z測阻止���。
路由器
和交換機類似�����,路由器也有一定的速度限制和訪問控制能力����,而大多數路由器很容易受到攻擊影響�。
黑洞引導
黑洞引導指將所有受攻擊計算機的通信全部發送至一個“黑洞”(空接口或不存在的計算機地址)或者有足夠能力處理洪流的網絡設備商����,以避免網絡受到較大影響��。
流量清洗
當流量被送到 DDoS 防護清洗中心時��,通過采用抗 DDoS 軟件處理����,將正常流量和惡意流量區分開�����。正常的流量則回注回客戶網站��。這樣一來可站點能夠保持正常的運作����,處理真實用戶訪問網站帶來的合法流量���。
