DDOS攻击原理
DDOS是英文Distributed Denial of Service的缩写,意即“散布式谢绝服务”,那末甚么又是谢绝服务(Denial of Service)呢?可以这么理解,凡是能致使合法用户不能够访问正常网络服务的行动都算是谢绝服务攻击。也就是说谢绝服务攻击的目的非常明确,就是要禁止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然一样是谢绝服务攻击,但是DDOS和DOS或者有所区别,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而致使谢绝服务,散布 式谢绝服务攻击一旦被实行,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,致使合法用户没法正常访问服务器的网络资源,因此,谢绝 服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击致使网络栈失效、系统崩溃、主机死机而没法提供正常的网络服务功能,从而造成谢绝服务,常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种谢绝服务攻击而言,危害较大的主要是DDOS攻击,缘由是很难防范,至于DOS攻击, 通过给主机服务器打补钉或安装防火墙软件就能够很好地防范,后文会详细介绍怎样对付DDOS攻击。
举个形象的例子来讲明:
某饭店可以容纳50人同时就餐,有个商家歹意竞争,雇佣了100人来这个饭店坐着不吃不喝,致使饭店满满铛铛没法正常营业。(DDOS攻击成功)
饭店老板立即大怒,派人把不吃不喝捣蛋的人全都赶了出去,且不再让他们进来捣乱,饭店恢复了正常营业。(添加规则和黑名单进行DDOS防御,防御成功)
主动攻击的商家心存不满,这次请了1000人逐批次来捣乱,致使该饭店再次没法正常营业。(增加DDOS流量,改变攻击方式)
饭店把那些捣乱的人轰出去只后,另外一批相继而来。此时老板将饭店营业范围扩大,该饭店可同时容纳二千人就餐,1000人同时来捣乱饭店营业也不会遭到影响。(增加硬防与其对抗)
三种流行的DDOS攻击手法
1、SYN/ACK Flood攻击:
这类攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量捏造源IP和源端口的SYN或ACK包,致使主机的缓存资源被耗尽或忙于发送回应包而造成谢绝服务,由于源都是捏造的故追踪起来比较困难,缺点是实行起来有一定难度,需要高带宽的僵尸主机支持。少许的这类攻击会致使主机服务器没法访问,但却可以Ping的通,在服务器上用Netstat -na命令会视察到存在大量的SYN_RECEIVED状态,大量的这类攻击会致使Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键 盘和鼠标。普通防火墙大多没法抵抗此种攻击。
2、TCP全连接攻击:
这类攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙 大多具有过滤TearDrop、Land等DOS攻击的能力,但对正常的TCP连接是放过的,却不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的 TCP连接,即使是正常的,也会致使网站访问非常缓慢乃至没法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到 服务器的内存等资源被耗尽而被拖跨,从而造成谢绝服务,这类攻击的特点是可绕过一般防火墙的防护而到达攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。
3、刷Script脚本攻击:
这类攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的,特点是和服务器建立正常的TCP连接,其实不断的向脚本程序提交查询、列表等大量耗费数 据库资源的调用,典型的以小博大的攻击方法。一般来讲,提交一个GET或POST指令对客户真个耗费和带宽的占用是几近可以疏忽的,而服务器为处理此要求 却可能要从上万条记录中去查出某个记录,这类处理进程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时履行,而这对客户端来讲却 是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而致使谢绝服务,常见的现象就是网站慢 如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这类攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理 便可实行攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址等;而而DOS则侧重于通过对主机特定漏洞的利用攻击致使网络栈失效、系统崩溃、主机死机而没法提供正常的网络服务功能,从而造成谢绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种谢绝服务攻击而言,危害较大的主要是DDOS攻击,缘由是很难防范,至于DOS攻击, 通过给主机服务器打补钉或安装防火墙软件就能够很好地防范。
怎样防御DDOS攻击
防御DDOS攻击有很多方法,但相对专业,小刀网络推出高防系列服务器,帮您把好第一道防线,详情请点击☞
