DDoS 是什么

拒绝服务攻击(DDOS)也称水灾攻击 , 是一种网络攻击技巧 , 其目的在于使目标计算机的网络或系统资源耗光 , 使服务暂时中断或停止 , 导致其正常客户无法打开 。当黑客使用网络上2个及以上被攻占的计算机做为“丧尸”向特定目标启动“拒绝服务”式攻击时 , 称为分布式拒绝服务攻击(distributed denial-of-service attack , 通称 DDoS 攻击) 。

DDoS 是什么

文章插图
据 2014 年统计 , 被确认为规模性 DDoS 的攻击已超均值一小时 28 次 。DDoS 发起者一般对于关键服务与知名网站开展攻击 , 如银行、信用卡支付网关、乃至根域名服务器等 。
DoS 也多见于部分网游 , 被心怀不满的玩家或者竞争者广泛应用 。DoS 也常被用来抗议 , 自由软件基金会创始人理查德·斯托曼曾表示 , DoS 是“网络街边抗议”的一种形式 。
攻击方法DDoS 攻击能够实际分为两种方式:带宽消耗型及其资源消耗型 。它们都是通过很多合法或伪造的请求占有很多网络及其器械资源 , 以达到偏瘫网络及其系统的效果 。
带宽消耗型攻击DDoS 带宽耗费攻击可分为两个不同的层级;洪泛攻击或变大攻击 。洪泛攻击的特点是运用丧尸程序发送很多流量至损坏的受害者系统 , 目的在于阻塞其带宽 。变大攻击与其相近 , 是由故意变大流量限制受害者系统的带宽;特点是运用丧尸程序根据伪造的源 IP(即攻击目标 IP)向一些存有漏洞的服务器发送请求 , 服务器在对待请求后向伪造的源 IP 发送回复 , 因为这些服务的独特性造成回复包比请求包更久 , 因而应用少量带宽就能使服务器发送大量回复到目标主机上 。
UDP 水灾攻击(User Datagram Protocol floods)
UDP(用户数据报协议)是一种无连接协议 , 当数据包根据 UDP 发送时 , 每一个数据包在发送和接收时不需要进行挥手认证 。当很多 UDP 数据包发送给受害系统时 , 可能会致使带宽饱和从而使合法服务没法请求浏览受害系统 。遭到 DDoS UDP 洪泛攻击时 , UDP 数据包的效果端口可能是任意或指定端口 , 受害系统将试着解决接收到的数据包来确认当地运转的服务 。要是没有应用软件在目标端口运作 , 受害系统将对源 IP 传出 ICMP 数据包 , 说明“目标端口不能达” 。某些情况下 , 攻击者会仿冒源 IP 地址以隐藏自己 , 那样从受害系统返回的数据包不会直接返回丧尸主机 , 而是被发送到被仿冒地址的主机 。有时 UDP 洪泛攻击也可能影响受害系统四周的数据连接 , 这可能造成受害系统附近正常系统遇到困难 。但是 , 这取决于网络体系结构和线速 。
ICMP 水灾攻击(ICMP floods)
ICMP(互联网操纵信息协议)水灾攻击是由向未优良设定的路由器发送广播信息占有系统资源的做法 。
死亡之 Ping(ping of death)
死亡之 Ping 是产生超出 IP 协议能容忍的数据包数 , 若系统没有检查机制 , 就会死机 。
泪滴攻击
每个数据要发送前 , 该数据包都会通过切割 , 每个小切割都会纪录偏移的信息 , 便于重组 , 但此攻击方式便是编造偏移信息 , 导致重组时发生难题 , 导致错误 。
资源消耗型攻击协议剖析攻击(SYN flood , SYN 水灾)
传输控制协议(TCP)同歩(SYN)攻击 。TCP 过程通常包括发送者和接收者中间在数据包发送以前建立的彻底信号交换 。运行系统发送一个 SYN 请求 , 接受系统回到一个带有自身 SYN 请求的 ACK(确定)做为互换 。发送系统然后传到自已的 ACK 来受权2个系统之间通信 。若接受系统发送了 SYN 数据包 , 但没接受到 ACK , 接收者经过一段时间之后再度发送新的 SYN 数据包 。接纳系统里的Cpu和内存资源将存放该 TCP SYN 的请求直到超时 。DDoS TCP SYN 攻击又被称为“资源耗光攻击” , 它利用 TCP 作用将丧尸程序伪装的 TCP SYN 请求发送给受害服务器 , 进而饱和服务Cpu资源并阻拦其高效地解决合法请求 。它专业运用发送系统和接收系统之间三向信号交换来发送很多欺诈性的原 IP 地址 TCP SYN 数据包给受害系统 。最后 , 很多 TCP SYN 攻击请求不断发送 , 造成受害系统内存和Cpu资源耗光 , 致使其没法解决一切合法用户的请求 。
LAND 攻击
这类攻击方式与 SYN floods 相近 , 但是在 LAND 攻击包里的原地址与目标地址全是攻击对象 IP 。这类攻击会导致被攻击的设备死循环 , 最后耗光资源而卡死 。
CC 攻击(Distributed HTTP flood , 分布式 HTTP 水灾攻击)
CC 攻击是 DDoS 攻击的一种类型 , 应用代理服务器向受害服务器发送很多好像合法的请求(通常使用 HTTP GET) 。CC(Challenge Collapsar , 考验黑洞)按照其工具取名 , 攻击者创造性使用代理体制 , 运用诸多普遍可用的免费代理服务器启动 DDoS 攻击 。很多免费代理服务器支持密名方式 , 这使跟踪变得很困难 。
僵尸网络攻击
僵尸网络是指很多被指令和控制(C&C)服务器所控制的互联网主机群 。攻击者散播恶意程序并构成自已的僵尸网络 。僵尸网络难以检验的原因是 , 丧尸主机仅有在实施特殊命令时才会与服务器进行通信 , 促使他们隐敝且不易察觉 。僵尸网络依据网络通信协议的不同分成 IRC、HTTP 或 P2P 类等 。
应用软件级水灾攻击(Application level floods)
与前边叙说的攻击方式不同 , 应用软件级水灾攻击主要用于系统软件层的 , 也就是高过 OSI 的 。它一样要以很多耗费系统资源为目的 , 通过向 IIS 这种网络系统服务提出无休止资源申请来残害正常网络服务 。
防御方法拒绝服务攻击的防御方法一般为入侵检测 , 流量过滤和多种认证 , 旨在阻塞网络带宽的流量要被过虑 , 而正常的流量可正常通过 。
防火墙
防火墙能设标准 , 比如容许或回绝特殊通信协议 , 端口或 IP 地址 。当攻击从少数不正常的 IP 地址传出时 , 能够简单应用回绝标准阻拦一切从攻击源 IP 发出的通讯 。
繁杂攻击无法用简单规则来阻止 , 比如 80 端口(网页服务)遭到攻击时不可能回绝端口每一个通讯 , 由于其同时会阻拦合法流量 。此外 , 防火墙可能处在网络结构中之后位置 , 路由器可能在故意流量做到防火墙前即被攻击危害 。但是 , 防火墙能有效地避免客户从运行防火墙后计算机进行攻击 。
交换机
大部分交换机有一定的速度限制和密钥管理水平 。有些交换机给予自动速度限制、流量整形、后期联接、深层包检测和假 IP 过虑作用 , 可以检测并过虑拒绝服务攻击 。比如 SYN 水灾攻击能通过后期联接进行防止 。根据视频的攻击可以借助深层包检验阻拦 。
路由器
和交换机相近 , 路由器也有一定的速度限制和密钥管理水平 , 而大多数路由器很容易受到攻击危害 。
黑洞引导
黑洞引导指把所有受攻击计算机通讯所有发送至一个“黑洞”(空插口或不存在的计算机地址)或是有充足水平解决洪流的网络设备商 , 以防止网络遭受很大影响 。
流量清洗
当流量被送到 DDoS 防护清理核心时 , 通过采用抗 DDoS 软件解决 , 将正常流量和故意流量区分开 。正常的流量则回注回顾客网址 。这样一来可网站可以保持正常的运作 , 解决真正客户访问网站带来的合法流量 。
【DDoS 是什么】