资讯

DDOS攻击是什么?十几种常见DDOS攻击原理

MarginNote 3 - Mac端PDF阅读批注工具 激活码价格:¥69.00
赤友 NTFS for Mac 助手 -  磁盘硬盘格式读写软件注册激活码价格:¥35.00
虫洞 -  iPhone安卓投屏操控 电脑手机多屏协同,价格:¥45.00
namesilo全网最便宜域名注册商,输入折扣码:nsilo20立减1美元!

互联网的快速发展,也DDOS攻击日益猖獗和便利,从原来的的兆单位到如今G单位和百G单位的流量攻击,使得DDOS攻击已经成为不可忽视的网络安全课题。DDOS攻击:中文全称分布式拒绝服务攻击,英文全写Distributed Denial of Service。我把DDOS攻击按攻击方式划分为三类,一类带宽阻塞型攻击,超量的数据包将服务器或服务器群的出口造成阻塞,使正常的访问无法进入或访问目标服务缓慢;二类是资源耗尽型攻击,通过各种数据包消耗系统资源,如连接、磁盘存储、内存等,从而正常用户的服务访问不能正常进行;三类是畸形包攻击,利用畸形的报文使目标主机在收到报文后读取报文内容时产生崩溃。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存磁盘大大增加,网络带宽也增加迅速,这使得DoS攻击的困难程度加大了。这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,比从前更大的规模来进攻受害者。
DDOS攻击是什么?十几种常见DDOS攻击原理
上面讲了一下DDOS攻击是什么,下面讲一下常见的DDOS攻击的攻击原理。
Syn flood:利用了TCP三次握手中的弱点。具体的方法是:攻击主机向目标主机发出SYN报文发起TCP连接,但是攻击主机并不回复最后一个ack报文,使得TCP握手无法完成,而目标主机在TCP握手中需要分配资源维持这些未完成的连接,当这样的连接到达一定数目后,目标主机就无法再响应其他的连接请求。构造出Synflood报文比较容易,只要将syn位置1,然后连接目标主机的某个可用服务的端口即可。
Udp flood:由于UDP协议是无连接的,因此它不可能占用目标主机的连接数,而只是通过发送大量UDP报文占用目标主机的带宽。通常情况下可以认为这是一种自杀式的攻击,因为在发送报文的过程中,不仅目标主机带宽被占用,发包主机的带宽也会收到严重的影响。构造udpflood报文不需要很特殊的置位,只要在同一时间内发送足够多数量的UDP报文就可以形成。
ICMP flood:原理同UDPflood,不同的是报文中装载的是ICMP报文。
CC攻击:向受害者发起大量HTTP Get/Post请求,主要请求动态页面,涉及到数据库访问操作,消耗受害者服务器有效资源,从而无法响应正常的请求。
IPsweep:严格的说,IPsweep并不能算是正式的攻击,IPsweep的过程只是向各个地址发送ping包等待回应,用以探测网络中存活的主机,从而为下一步的攻击做准备。
Portscan:一种端口扫描方式。其方法是对指定目标的端口发送SYN报文发起TCP连接,如果主机返回的是SYN+ACK,那么表示这个端口上有相应的服务开放,如果主机返回的是RST,那么说明这个端口没有服务在监听。
Land:在Land攻击中主要运用了两种手段:IP欺骗和SYNflood。Land攻击的原理是在IP首部将目标主机的IP同时填写为源地址和目的地址,然后再封装一个SYN的TCP报文发送出去,这样,收到报文的主机要向源地址响应SYN并且维持一个未完成的连接,而源地址又是它本身,因此这样循环进行下去后会最终造成主机资源耗尽无法响应请求。
Smurf:Smurf攻击是一种综合了IP欺骗和洪泛攻击的攻击手段。首先,报文的内容被构造成需要回应的特定请求(如ICMP request),而报文的源地址被伪造成要攻击的目标主机,收到该报文的主机将会对报文发起响应(如ICMP reply),而响应报文就会全部发送到伪造的源地址。通常情况下为了产生更大的报文流量,目标地址会构造成某个子网的广播地址,这样只要发送一个报文就能产生一个子网的流量,使攻击的效果更加明显。相比于传统的洪泛攻击,smurf攻击不占据自己的带宽,并且有利于隐藏自己的地址。
PING of death:正常的IP报文长度不能超过65535字节,这是由IP首部的16位长度字段决定的,收到超过65535字节的IP报文系统会出错。但是由于IP分片和偏移量的存在,使得我们可以够造出超过65535字节的IP报文。首先,13位的偏移量其最大值为8191,也就是说它所能表示最大的偏移量是65528,同时我们知道IP分片的最后一个报文是没有偏移量的,但是每个报文有各自的报文长度。那么分片报文到达目的后需要进行重组,重组后的IP报文长度就是用最大的一个偏移量加上最后一个报文的长度,虽然偏移量限定在65528,但是单个报文长度却可以做得很大,例如1000,那么最后得到重组的报文长度就是65528+1000=66528,超出了65535的限制,那么收到这样的报文的主机就有可能产生崩溃死机等情况。
WinNuke:针对windows系统的DoS攻击。攻击报文中将URG置位,同时将目标端口设为139端口,139端口是netbios协议的端口,当这样一份报文发送到目标主机后,会产生netbios的碎片重叠,导致主机崩溃。
Ip option攻击:IP option是IP报文首部的可选信息,其中可以带有调试控制信息,也可以带有一些路由信息或安全性的信息,但是事实上IP选项信息在通信中基本是不需要的,一般的路由器接收到它们后都会选择丢弃,而IP选项如果配置错误——例如配置不完整,字段残缺——收到报文的主机会出现错误。
TearDrop:利用IP碎片重组的攻击。在IP报头中的偏移量字段,它本身表示的是该分片相对于未分片的报文的数据的偏移量,假如收到的报文中,第二个分片的报文的偏移量小于它前一个报文的长度,在进行分片重组时会消耗主机巨大的资源,造成不能响应正常的服务。
Targa3:向目标主机发送长度、标识、地址、端口等都随机的碎片报文,令目标主机的协议栈在处理这些不规范数据的时候产生崩溃,影响正常服务的提供。
IP欺骗:构造数据报文时将IP首部的源地址进行修改,变成其他的IP地址,这种手段通常作为一些攻击的辅助手段进行,隐藏自己的地址,同时将攻击引导到目标主机上,一个典型的应用就是smurf攻击。
DDOS攻击是什么?十几种常见DDOS攻击原理
PS:DDOS攻击流量多种多样,很多DDOS攻击不是预设防御策略所能够防范的,一般情况下是发现攻击后人为的分析攻击包特征,针对性的进行防御。

(0)

本文由 podipod软库网 作者:DevOps 发表,转载请注明来源!

ToDesk - 安全好用流畅远程控制软件 替代TeamViewer,价格:¥108.00
Eagle - 图片收集管理必备软件 激活码价格:¥119.00
PDF Expert 2 - Mac上优秀的PDF阅读编辑工具,价格:¥119.00

热评文章

发表评论