DDoS攻擊的原理是什麽?隨著網絡時代的到來,網絡安全變得越來越重要。在互聯網安全領域,DDoS(分布式
DenialofService)攻擊技術由於其隱蔽性和高效性,壹直是網絡攻擊者最常用的攻擊方式,嚴重威脅著互聯網的安全。在下壹篇文章中,邊肖將介紹DDoS攻擊的原理、表現形式和防禦策略。希望對妳有幫助。
DDoS攻擊原理及防護措施介紹
壹、DDoS攻擊的工作原理
1.1 DDoS的定義
DDos的前身DoS
DenialofService攻擊,即拒絕服務攻擊,用大量需要回復的信息淹沒網站服務器,消耗網絡帶寬或系統資源,導致網絡或系統過載,停止提供正常的網絡服務。DDoS分布式拒絕服務主要使用
互聯網上現有機器和系統的漏洞捕獲了大量聯網主機,使其成為攻擊者的代理。當被控制的機器數量達到壹定程度時,攻擊者會發送指令控制這些攻擊者,同時對目標主機或網絡發起DoS攻擊,這會消耗大量其網絡帶和系統資源,導致網絡或系統癱瘓或停止提供正常的網絡服務。由於DDos的分布式特性,它具有遠比Dos更強大的攻擊性和破壞性。
1.2 DDoS的攻擊原理
如圖1所示,壹個比較完善的DDos攻擊系統分為四個部分,分別是攻擊者(也叫主人)和控制傀儡機(
Handler)、攻擊傀儡機(demon,又稱代理)和受害者(
受害者).第2部分和第3部分分別用於控制和實際發動攻擊。第二部分,控制機只發布命令,不參與實際攻擊。第三部分,DDoS的實際攻擊包由攻擊傀儡機發出。對於part 2和part 3計算機,攻擊者擁有控制權或部分控制權,並將相應的DDoS程序上傳到這些平臺。這些程序像正常程序壹樣運行,並等待攻擊者的指令。通常,它會使用各種手段來隱藏自己。在平時,這些傀儡機並沒有什麽異常,但是壹旦攻擊者連接上它們進行控制並發出指令,攻擊機器就變成了攻擊者來發動攻擊。
圖1分布式拒絕服務攻擊架構
采用這種結構的壹個重要目的是隔離網絡連接,保護攻擊者在攻擊過程中不被監控系統跟蹤。同時可以更好的協同攻擊,因為攻擊執行者太多,壹個系統發出命令會造成控制系統的網絡擁塞,影響攻擊的突然性和協調性。而且流量的突然增加也容易暴露攻擊者的位置和意圖。整個過程可以分為:
1)掃描大量主機,尋找可以入侵主機的目標;
2)有安全漏洞和增益控制的主機;
3)在入侵主機中安裝攻擊程序;
4)用入侵的主機繼續掃描入侵。
當受控攻擊代理的數量達到攻擊者滿意時,攻擊者可以通過攻擊主控計算機隨時發出打擊命令。因為攻擊主控電腦的位置非常靈活,而且發出命令的時間很短,定位起來非常隱蔽。壹旦攻擊命令被傳送到攻擊操縱器,主控制器可以關閉或離開網絡以避免跟蹤,攻擊操縱器向每個攻擊代理發出命令。攻擊代理收到攻擊命令後,開始向目標主機發送大量服務請求包。這些數據包經過偽裝,使得攻擊者無法識別其源平面,這些數據包請求的服務往往會消耗大量的系統資源,比如CP或網絡帶寬。如果數百甚至數千個攻擊代理同時攻擊壹個目標,會導致目標主機的網絡和系統資源耗盡,從而停止服務。有時,它甚至會導致系統崩潰。
此外,它還可以阻塞目標網絡的防火墻、路由器等網絡設備,進壹步加劇網絡擁塞。這樣壹來,目標主機根本無法為用戶提供任何服務。攻擊者使用的協議都是非常常見的協議和服務。這樣系統管理員很難區分惡意請求和主動連接請求,無法有效分離攻擊包。
二、DDoS攻擊識別
DDoS(拒絕服務)攻擊的主要目的是使指定的目標在沒有通知的情況下提供正常服務,甚至從互聯網上消失。它是目前最強大和最困難的攻擊之壹。
2.1 DDoS表現
DDoS主要有兩種形式。壹種是流量攻擊,主要針對網絡帶寬,即大量攻擊包造成網絡帶寬阻塞,合法的網絡包被虛假攻擊包充斥,無法到達主機;另壹種是資源耗盡攻擊,主要是對服務器主機的政治攻擊,即大量攻擊包導致主機內存或CPU內核及應用耗盡,導致無法提供網絡服務。
2.2攻擊識別
識別流量攻擊有兩種主要方法:
1) Ping測試:如果發現Ping超時或嚴重丟包,則可能受到攻擊。如果同壹臺交換機上的服務器也無法訪問,基本可以確定為流量攻擊。測試的前提是受害主機與服務器之間的ICMP協議沒有被路由器、防火墻等設備屏蔽;
2)
Telnet測試:其顯著特點是遠程終端連接服務器失敗,容易判斷相對流量攻擊和資源耗盡攻擊。如果網站訪問突然很慢或者無法訪問,但是可以Ping通,很可能是被攻擊了。如果使用Netstat-na命令在服務器上觀察到大量數據,
SYN_RECEIVED、TIME_WAIT、FIN_
WAIT_1等。,但EASTBLISHED很少,所以可以判斷為資源耗盡攻擊。其特點是受害主機無法Ping通同壹臺交換機上的服務器或丟包嚴重,原因是系統內核或應用程序的CPU利用率達到100%而無法響應Ping命令,但同壹臺交換機上的主機因為還有帶寬可以Ping通。
第三,DDoS攻擊模式
DDoS攻擊及其變種有很多種。就他們的攻擊手段而言,最流行的DDoS攻擊有三種。
3.1 SYN/ACK洪水攻擊
這種攻擊方式是壹種經典有效的DDoS攻擊方式,可以殺死各種系統的網絡服務。它主要通過向受害主機發送大量偽造源P和源端口的SYN或ACK包,導致主機緩存資源耗盡或忙於發送響應包,從而導致拒絕服務。因為源頭都被破壞了,很難追查。缺點是實現難度大,需要高帶寬僵屍主機的支持。少量此類攻擊會導致主機服務器無法訪問,但可以對其執行ping操作。
Netstat-na命令將觀察大量syn的存在。
已接收狀態,大量此類攻擊會導致Ping失敗、TCP/IP棧失敗、系統固化,即鍵盤鼠標不響應。大多數常見的防火墻都無法抵禦這種攻擊。
攻擊流程如圖2所示。正常的TCP連接是三次握手,系統B向系統a發送SYN/ACK包後停在SYN。
RECV狀態,等待系統a返回ACK包;此時,系統B已經分配了用於準備建立連接的資源。如果攻擊者系統A使用偽造的源IP,那麽系統B始終處於“半連接”等待狀態,直到超時後連接被從連接隊列中清除。由於定時器的設置和滿連接隊列,系統A只要高速連續向系統B發送帶有偽造源IP的連接請求,就可以在短時間內成功攻擊系統B,而系統B卻無法再響應其他正常的連接請求。
圖2 SYN泛洪攻擊流程
3.2 TCP全連接攻擊
這種攻擊旨在繞過傳統防火墻的檢查。通常,大多數傳統防火墻都有過濾功能。
TearDrop,Land等DOS攻擊,但是對於正常的TCP連接都是幸免的,但是很多網絡服務程序(比如IIS,
Apache等Web服務器可以接受有限數量的TCP連接。壹旦有大量的TCP連接,即使正常,網站訪問也會很慢,甚至無法訪問。TCP全連接攻擊是通過許多僵屍主機不斷地與受害服務器建立大量的TCP連接,直到服務器的內存等資源耗盡而被拖跨,造成拒絕服務。這種攻擊的特點是可以繞過壹般防火墻的保護,達到攻擊的目的。缺點是需要找到很多僵屍主機,而且由於僵屍主機的IP暴露,這樣的DDOs攻擊者很容易被追蹤到。
3.3 TCP刷腳本攻擊
這種攻擊主要針對ASP、JSP、PHP、CGI等腳本,調用MSSQL Server、My SQL Server、
Oracle等數據庫網站系統,特點是與服務器建立正常的TCP連接,不斷向腳本程序提交消耗大量數據庫資源的查詢、列表等調用,典型的是以小博大的攻擊方式。壹般來說,提交壹條GET或POST指令對客戶端的消耗和占用的帶寬幾乎可以忽略不計,但服務器可能要從數萬條記錄中找出壹條記錄才能處理這個請求。這個處理過程消耗大量資源。常見的數據庫服務器很少支持上百條查詢指令同時執行,這對於客戶端來說很容易,所以攻擊者只需要通過。
Proxy代理向主機服務器提交大量查詢指令,這將在短短幾分鐘內消耗服務器資源,導致拒絕服務。常見的現象有網站慢如蝸牛,ASP程序失敗,PHP連接數據庫失敗,數據庫主程序占用CPU高。這種攻擊的特點是可以完全繞過常見的防火墻保護,輕松找到壹些Poxy代理進行攻擊。缺點是對付靜態頁面的網站效果會大打折扣,有些代理會暴露DDOS攻擊者的IP地址。
第四,DDoS防護策略
DDoS的防護是壹個系統工程,依靠某個系統或產品來預防DDoS是不現實的。可以肯定的是,目前完全消滅DDoS是不可能的,但是通過適當的措施來抵禦大部分DDoS攻擊是可能的。由於攻擊和防禦都是有成本的,如果通過適當的措施增強了抵禦DDoS的能力,就意味著攻擊者的攻擊成本會增加,所以大部分攻擊者將無法繼續下去而放棄,相當於成功抵禦了DDoS攻擊。
4.1采用高性能網絡設備。
抗DDoS攻擊首先要保證網絡設備不能成為瓶頸,所以在選擇路由器、交換機、硬件防火墻等設備時,要盡量選擇信譽度高、口碑好的產品。那麽如果和網絡提供商有特殊關系或者協議就更好了。當大量攻擊發生時,要求他們在網絡接點進行流量限制,以對抗某些類型的DDoS攻擊,是非常有效的。
4.2盡量避免使用NAT
無論是路由器還是硬件保護墻設備,都應該盡量避免使用NAT進行網絡地址轉換,除非必須使用NAT,因為這種技術會大大降低網絡通信能力。原因很簡單,因為NAT需要來回轉換地址,轉換過程中需要計算網絡包的校驗和,浪費了大量的CPU時間。
4.3足夠的網絡帶寬保證
網絡帶寬直接決定了抵禦攻擊的能力。如果帶寬只有10M,無論采取什麽措施都很難抗住電流。
SYNFlood攻擊,目前至少要選擇100M * *帶寬,1000M帶寬會更好,但是需要註意的是,主機上的網卡是1000M並不代表它的網絡帶寬是千兆的,如果連接的是100M的交換機,它的實際帶寬就不是。即使連接到100M的帶寬,也不代表有百兆的帶寬,因為網絡服務商很可能在交換機上把實際帶寬限制在10M。
4.4升級主機服務器硬件
在保證網絡帶寬的前提下,盡可能提高硬件配置。為了有效地對抗每秒65438+百萬的SYN攻擊包,服務器配置至少應該是P4。
2.4G/DDR512M/SCSI-HD,CPU和內存起到關鍵作用。內存壹定要選DDR的高速內存,硬盤盡量選SCSI,保證高穩定的硬件性能,否則會付出很高的性能代價。
4.5使網站成為靜態頁面
大量事實證明,讓網站盡可能的靜態化,不僅可以大大提高抗攻擊能力,也會給黑客帶來很多麻煩。到目前為止,HTML還沒有溢出,新浪、搜狐、網易等門戶網站都是以靜態頁面為主。
另外,在需要調用數據庫的腳本中最好拒絕代理訪問,因為經驗表明,我們網站80%的代理訪問都是惡意的。
動詞 (verb的縮寫)摘要
DDoS攻擊不斷發展,變得越來越強大、隱秘、更有針對性、更復雜,成為互聯網安全的壹大威脅。同時,隨著系統的升級,新的系統漏洞不斷湧現,DDoS攻擊技能的提升也增加了DDoS防護的難度。有效應對這種攻擊是壹個系統工程,不僅需要技術人員探索防護手段,還需要網絡用戶具備網絡攻擊的基本意識和手段。只有采用技術手段和手段。相關鏈接