大家好,我是IT售前工程師Bernie。
從事網際網路行業的人經常會聽到DDOS攻擊,今天我們簡要聊一下DDOS的概念、攻擊原理與形式,歡迎閱讀.
什麼是DDOS
DDOS英文全稱Distributed Denial of Service,即分布式拒絕服務攻擊。說白了就是: 攻擊者想盡一切辦法,讓受害方的伺服器不能正常響應業務請求。
攻擊者把DDOS主控程序安裝在一個計算機上,並將代理程序安裝在Internet上的許多計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序收到指令時就發動攻擊。主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
DDOS攻擊的危害
- 受害方計算機網絡中充斥著大量的無用的數據包,並且源地址是假的。高流量無用數據會造成網絡擁塞,使被攻擊的主機無法正常通信。
- 受害方主機上有大量等待的TCP連接。
- 受害方所提供的服務或傳輸協議上的缺陷,反覆高速的發出特定的服務請求,伺服器無法及時處理所有正常請求,嚴重時會宕機。
應用層DDOS攻擊
cc攻擊
cc攻擊(Challenge Collapasar)就是對於那些加載比較慢,消耗資源比較多的網頁不斷發起不正常的請求,導致資源耗盡。
比如需要查詢資料庫的頁面、讀寫硬碟文件的等。通過cc攻擊,使用爬蟲對某些加載需要消耗大量資源的頁面發起http請求。
http post攻擊
http post攻擊的原理是在發送post請求包時,發送一個非常大數據包。(Content-Length值非常大)。然後,以極低的速度發包,保持連接不斷,導致服務飽和不可用。
網絡層DDOS攻擊
syn flood攻擊
syn flood攻擊利用了tcp三次握手過程中的弱點,我們知道,tcp三次握手過程需要客戶端和伺服器雙方發送syn、syn+ack,ack數據包。
進行syn flood攻擊時,黑客可以構造源ip去發送syn包。因為ip是隨意構造的,伺服器返回的syn+ack就不能得到應答。
此時,伺服器就會嘗試重新發送,並且會有至少30s的等待時間,導致資源飽和服務不可用。
udp flood攻擊
攻擊者可以偽造大量的源IP位址去發送udp包,此種攻擊屬於大流量攻擊。
由於udp是一種無連接的協議,因此udp包雙向流量會基本相等,在消耗對方資源的時候也在消耗自己的資源,最終導致資源飽和服務不可用。
icmp flood攻擊
icmp flood攻擊屬於大流量攻擊,其原理就是不斷發送不正常的icmp包(Internet Control Message Protocol,Internet控制報文協議)。
這些icmp包內容往往內容很大,量大又多,最終導致目標帶寬被占用,但其本身資源也會被消耗。
總結
DDOS攻擊也是使用的常見的協議與服務,我們從協議和服務類型上是很難對攻擊做區分的。組網時要進行必要的安全域劃分、配置防火牆、入侵檢測和防範系統,減緩攻擊。要對系統及時打補丁,並採取有效的合規性配置,降低漏洞利用風險。
我是IT售前工程師Bernie,歡迎關注!下期見~