DDoS攻擊(Distributed Denial of Service Attack,分布式拒絕服務(wù)攻擊)的前身是DoS攻擊(Denial of Service Attack�,拒絕服務(wù)攻擊),是指一種通過各種技術(shù)手段導(dǎo)致目標(biāo)系統(tǒng)進(jìn)入拒絕服務(wù)狀態(tài)的攻擊���。一個(gè)比較完善的DDos攻擊體系主要是由四大部分所組成���,分別是(1)主攻擊機(jī)( attacker也可以稱為master)、(2)控制傀儡機(jī)( handler)���、(3)攻擊傀儡機(jī)( demon��,又可稱agent)以及(4)受攻擊機(jī)( victim)�����。其中控制傀儡機(jī)和攻擊傀儡機(jī)�����,分別用做控制和實(shí)際發(fā)起攻擊��??刂瓶軝C(jī)只發(fā)布指令而不參與實(shí)際的攻擊,攻擊傀儡機(jī)上發(fā)出DDoS的實(shí)際攻擊包�����。對(duì)第(2)和第(3)部分計(jì)算機(jī)���,主攻擊機(jī)有控制權(quán)或者是部分的控制權(quán)���,并把相應(yīng)的DDoS程序上傳到這些宿主機(jī)上,這些程序與正常的程序一樣運(yùn)行并等待來自主攻擊機(jī)的指令��,通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)��。在平時(shí)�,這些傀儡機(jī)器并沒有什么異常,只是一旦主攻擊機(jī)連接到它們進(jìn)行控制并發(fā)出指令的時(shí)候,攻擊愧儡機(jī)就成為攻擊者去發(fā)起攻擊了�����。之所以采用這樣的結(jié)構(gòu)�����,一個(gè)重要目的是隔離網(wǎng)絡(luò)聯(lián)系��,保護(hù)主攻擊機(jī)�,使其不會(huì)在攻擊進(jìn)行時(shí)受到攻擊防護(hù)系統(tǒng)的溯源和跟蹤�����。同時(shí)也能夠更好地協(xié)調(diào)進(jìn)攻�,因?yàn)楣魣?zhí)行器的數(shù)目太多,同時(shí)由一個(gè)系統(tǒng)來發(fā)布命令會(huì)造成控制系統(tǒng)的網(wǎng)絡(luò)阻塞�����,影響攻擊的突然性和協(xié)同性����。而且,流量的突然增大也容易暴露攻擊者的位置和意圖。整個(gè)過程可分為:(1)掃描大量主機(jī)以尋找可入侵主機(jī)目標(biāo)����;(2)入侵有安全漏洞的主機(jī)并獲取控制權(quán);(3)在入侵的主機(jī)中安裝攻擊程序�����;(4)用己入侵主機(jī)繼續(xù)進(jìn)行漏洞掃描和入侵����。當(dāng)受控制的攻擊傀儡機(jī)達(dá)到主攻擊機(jī)滿意的數(shù)量時(shí),主攻擊機(jī)就可以通過控制傀儡機(jī)隨時(shí)發(fā)出攻擊指令��。由于主攻擊機(jī)的位置非常靈活��,而且發(fā)布命令的時(shí)間很短��,所以非常隱蔽難以定位��。一旦攻擊的命令傳送到攻擊傀儡機(jī)����,主攻擊機(jī)就可以關(guān)閉或脫離網(wǎng)絡(luò),以逃避追蹤溯源�����;隨著控制傀儡機(jī)將命令發(fā)布到各個(gè)攻擊傀儡機(jī),在攻擊傀儡機(jī)接到攻擊命令后�,就開始向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請(qǐng)求數(shù)據(jù)包。這些數(shù)據(jù)包經(jīng)過偽裝�,使被攻擊者無法識(shí)別它的來源��,這些包所請(qǐng)求的服務(wù)往往需要消耗較大的系統(tǒng)資源或網(wǎng)絡(luò)帶寬�。如果數(shù)百臺(tái)甚至上千臺(tái)攻擊傀儡機(jī)同時(shí)攻擊一個(gè)目標(biāo)主機(jī),就會(huì)導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡���,從而停止服務(wù)甚至?xí)?dǎo)致系統(tǒng)崩潰�。另外�����,這樣還可以阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備�,進(jìn)一步加重網(wǎng)絡(luò)擁塞狀況。于是����,目標(biāo)主機(jī)根本無法為用戶提供任何服務(wù)。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務(wù)�。這樣,系統(tǒng)管理員就難于區(qū)分惡意請(qǐng)求和正連接請(qǐng)求,從而無法有效分離出攻擊數(shù)據(jù)包��。容量耗盡攻擊(Volumetric attacks)通常借助僵尸網(wǎng)絡(luò)和放大技術(shù),通過向終端資源注入大量流量來阻止正常用戶對(duì)終端資源的訪問���。最常見的容量耗盡攻擊類型有:黑客使用大量的互聯(lián)網(wǎng)控制消息協(xié)議(ICMP)請(qǐng)求或ping命令����,試圖耗盡被受害者服務(wù)器帶寬��。黑客將大量的用戶數(shù)據(jù)報(bào)協(xié)議(UDP)數(shù)據(jù)包發(fā)送到受害主機(jī)�����,受害主機(jī)的資源由于UDP報(bào)文泛濫而耗盡��,導(dǎo)致設(shè)備無法處理和響應(yīng)對(duì)合法流量的服務(wù)�����。協(xié)議攻擊是利用議工作方式的漏洞發(fā)起攻擊�,這是第二大最常見的攻擊媒介�����。最常見的協(xié)議攻擊類型有:黑客利用了TCP三次握手機(jī)制的漏洞�?����?蛻舳藢YN數(shù)據(jù)包發(fā)送到服務(wù)器��,接收服務(wù)器返回的SYN-ACK數(shù)據(jù)包�����,但是永遠(yuǎn)不會(huì)將ACK數(shù)據(jù)包發(fā)送回服務(wù)器���。因此,受害者的服務(wù)器留下了許多未完成的SYN-ACK請(qǐng)求���,并最終導(dǎo)致崩潰���。
?黑客使用簡單的Ping命令發(fā)送超大數(shù)據(jù)包,從而導(dǎo)致受害者的系統(tǒng)凍結(jié)或崩潰��。應(yīng)用程序攻擊是利用協(xié)議棧(六),協(xié)議棧(七)中的漏洞發(fā)起攻擊��,主要針對(duì)特定的應(yīng)用程序而不是整個(gè)服務(wù)器�����。它們通常針對(duì)公共端口和服務(wù)��,例如DNS或HTTP�。最常見的應(yīng)用程序攻擊類型有:黑客利用大量的標(biāo)準(zhǔn)GET和POST請(qǐng)求淹沒應(yīng)用程序或Web服務(wù)器。由于這些請(qǐng)求通常顯示為合法流量���,因此檢測HTTP洪水攻擊是一個(gè)相當(dāng)大的挑戰(zhàn)�。正如其名�����,Slowloris攻擊緩慢地使受害者的服務(wù)器崩潰���。攻擊者按一定時(shí)間間隔向受害者的服務(wù)器發(fā)送HTTP請(qǐng)求�����。服務(wù)器一直在等待這些請(qǐng)求完成����,最終,這些未完成的請(qǐng)求耗盡了受害者的帶寬�����,使合法用戶無法訪問服務(wù)器�。三、DDoS攻擊應(yīng)該如何識(shí)別�����?DDoS的表現(xiàn)形式主要有兩種�,一種為流量攻擊,主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊����,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞����,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī);另一種為**資源耗盡攻擊��,**主要是針對(duì)服務(wù)器主機(jī)的政擊�,即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)���。當(dāng)被DDoS攻擊時(shí),主要表現(xiàn)為:(1)被攻擊主機(jī)上有大量等待的TCP連接����。(2)網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包,源地址為假�。(3)制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞�,使受害主機(jī)無法正常和外界通訊。(4)利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷����,反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求,使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求���。(5)嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)�����。(1) Ping測試:若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重�,則主機(jī)可能正在遭受攻擊����,若發(fā)現(xiàn)相同交換機(jī)上的服務(wù)器也無法訪問�����,基本可以確定為流量攻擊�。測試前提是受害主機(jī)到服務(wù)器間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽����;(2) Telnet測試:其顯著特征是遠(yuǎn)程終端連接服務(wù)器失敗,相對(duì)流量攻擊�����,資源耗盡攻擊易判斷�����,若網(wǎng)站訪問突然非常緩慢或無法訪問���,但可Ping通,則很可能遭受攻擊�����,若在服務(wù)器上用Netstat-na命令觀察到大量 SYN_RECEIVED����、 TIME_WAIT����, FIN_ WAIT_1等狀態(tài)���,而EASTBLISHED很少��,可判定為資源耗盡攻擊�,特征是受害主機(jī)Ping不通或丟包嚴(yán)重而Ping相同交換機(jī)上的服務(wù)器正常����,則原因是攻擊導(dǎo)致系統(tǒng)內(nèi)核或應(yīng)用程序CPU利用率達(dá)100%無法回應(yīng)Ping命令,但因仍有帶寬�,可ping通相同交換機(jī)上主機(jī)。四��、DDoS的防護(hù)策略有哪些�����?DDoS的防護(hù)是個(gè)系統(tǒng)工程����,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDoS是不現(xiàn)實(shí)的��,可以肯定的說���,完全杜絕DDoS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟蠖鄶?shù)的DDoS攻擊是可以做到的����,基于攻擊和防御都有成本開銷的緣故,若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDoS的能力�����,也就意味著加大了攻擊者的攻擊成本��,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄�,也就相當(dāng)于成功的抵御了DDoS攻擊。1 .采用高性能的網(wǎng)絡(luò)設(shè)備抗DDoS攻擊首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸��,因此選擇路由器�����、交換機(jī)��、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高�����、口碑好的產(chǎn)品���。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了���,當(dāng)大量攻擊發(fā)生的時(shí)候請(qǐng)他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對(duì)抗某些種類的DDoS攻擊是非常有效的。無論是路由器還是硬件防護(hù)墻設(shè)備都要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用���,除了必須使用NAT�,因?yàn)椴捎么思夹g(shù)會(huì)較大降低網(wǎng)絡(luò)通信能力����,原因很簡單,因?yàn)镹AT需要對(duì)地址來回轉(zhuǎn)換��,轉(zhuǎn)換過程中需要對(duì)網(wǎng)絡(luò)包進(jìn)行校驗(yàn)和計(jì)算���,因此浪費(fèi)了很多CPU的時(shí)間�。網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力�����,假若僅有10M帶寬,無論采取何種措施都很難對(duì)抗現(xiàn)在的 SYNFlood攻擊��,當(dāng)前至少要選擇100M的共享帶寬,1000M的帶寬會(huì)更好���,但需要注意的是���,主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機(jī)上�����,它的實(shí)際帶寬不會(huì)超過100M�,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會(huì)在交換機(jī)上限制實(shí)際帶寬為10M����。在有網(wǎng)絡(luò)帶寬保證的前提下,盡量提升硬件配置����,要有效對(duì)抗每秒10萬個(gè)SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD����,起關(guān)鍵作用的主要是CPU和內(nèi)存��,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的��,要保障硬件性能高并且穩(wěn)定����,否則會(huì)付出高昂的性能代價(jià)。大量事實(shí)證明����,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力���,而且還給黑客入侵帶來不少麻煩�,到現(xiàn)在為止還沒有出現(xiàn)關(guān)于HTML的溢出的情況����,新浪、搜狐�����、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面。此外�,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因?yàn)榻?jīng)驗(yàn)表明使用代理訪問我們網(wǎng)站的80%屬于惡意行為�。
閱讀原文:https://mp.weixin.qq.com/s/FOPc0JaNvvHsTz64ZJoTfQ
該文章在 2025/5/8 18:20:11 編輯過
400 186 1886
