DDOS攻击随着互联网的快速发展,日益猖獗,从早期的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个很大的利益链。DDOS攻击由于容易实施、难以防范、难以追踪,成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。
DOS&DDOS
DOS是英文“denial-of-service attack”的缩写,中文意思是“拒绝服务攻击”,亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
DDOS是英文“distributed denial-of-service attack”的缩写,中文意思是“分布式拒绝服务攻击”,与DOS的区别在于,当黑客发动攻击时,会使用网络上两个或两个以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。
DDoS攻击现象
1.被攻击主机上有大量等待的TCP连接。
2.网络中充斥着大量的无用的数据包,源地址为假。
3.制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。
4.利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。
5.严重时会造成系统死机。
DDOS攻击方式
DDOS攻击有两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求,占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。
带宽消耗型攻击
DDOS带宽消耗攻击分为两个不同的层次:洪泛攻击或放大攻击。
洪泛攻击:利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击:通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。
资源消耗型攻击
通过攻击,将被攻击机器的系统内存和处理器资源耗尽。
DDOS的类型及常见攻击方式
DDOS攻击主要分为三类:流量型攻击;连接型攻击;特殊协议缺陷。有以下常见攻击:
IP Flood
Syn Flood
Udp 反射 Flood
Dns Query Flood
Dns Reply Flood
Http Flood
Https Flood
Sip Invite Flood
Sip Register Flood
Ntp Request Flood
Ntp Reply Flood
Connection Flood
CC攻击
http slow header慢速攻击
http slow post慢速攻击
Https-ssl-dos攻击
Dns NX攻击
Dns 投毒
ICMP Flood
死亡之Ping
泪滴攻击
UDP洪水攻击(User Datagram Protocol floods)
抗DDOS产品防御方式
拒绝服务攻击的防御方式通常为扩大带宽、入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。
大多数防火墙,IPS产品都附带了抗DDOS攻击的功能,但是,由于它们本身对数据的处理机制,造成不能够准确的检测出DDOS攻击数据包和正常数据包,因此,它们对DDOS攻击的处理方式和专业的抗DDOS攻击设备还是有很大不同的。实际网络中最常使用的就是抗DDOS防火墙。