什么是DDoS(分布式拒绝服务攻击)?

作为一种“行之有效”而且极难防御的攻击方式,分布式拒绝服务攻击(DDoS)可谓是让广大互联网人谈之色变。本文将结合吴小松了解的一些DDoS知识给大家做一个简要的介绍,当然了,攻击和防御这种“矛和盾的游戏”似乎永远也停不下来,DDoS的各种手段也会不断的进化和升级,这边主要介绍一些比较常见攻击模式。这里提醒各位朋友,学习DDoS相关的知识是为了更好的防御,而不是作为武器去攻击和祸害别人。

datacenter-ddos

要说分布式拒绝服务攻击,我们得先了解一下什么是拒绝服务攻击。拒绝服务攻击(Denial of Service AttackDoS)也有人形象的称之为洪水攻击,是一种网络攻击手法,其目的在于通过耗尽目标电脑的网络或系统资源,从而使服务暂时中断或停止,导致其正常用户无法访问。而随着计算机系统的演进和升级,这样的攻击手段越来越难以实现,而且往往效果也不是那么的“给力”。

渐渐的,结合了“人海战术”的分布式拒绝服务攻击开始显示出难以置信的破坏力。当黑客使用网络上多个被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,也就是我们常常听说的为分布式拒绝服务攻击Distributed Denial of Service attack,缩写:DDoS)。攻击发起者一般针对重要服务进行攻击,如银行,信用卡支付网关,甚至根域名服务器。该类攻击也常见于部分游戏,被心怀不满的玩家或是竞争对手广泛使用。

DDoS攻击现象

DDOS的表现形式主要有两种:一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。通过查看网络状态以及计算机其它资源的使用情况基本可以判断出当前是否遭遇了DDoS攻击,而且如果是租用的服务器的话,服务商往往也会有相应的预警和通知。

美国国土安全部旗下的美国计算机应急准备小组(US-CERT)总结了拒绝服务攻击症状通常包括:

  1. 网络异常缓慢(打开文件或访问网站)
  2. 特定网站无法访问
  3. 无法访问任何网站
  4. 垃圾邮件的数量急剧增加
  5. 无线或有线网络连接异常断开
  6. 长时间尝试访问网站或任何互联网服务时被拒绝
  7. 服务器容易断线、LAG

拒绝服务的攻击也可能会导致目标计算机同一网络中的其他计算机被攻击,互联网和局域网之间的带宽会被攻击导致大量消耗,不但影响目标计算机,同时也影响局域网中的其他电脑。如果攻击的规模较大,整个地区的网络连接都可能会受到影响。

比如,2016年10月,域名系统提供商Dyn遭到迄今为止规模最大的DDoS攻击,数千万IP参与此次攻击。导致北美和欧洲的网络链接出现访问缓慢或无法访问的情况。

DDoS攻击方式

DDoS攻击可以具体分成两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及硬件资源,以达到瘫痪网络以及系统的目的。

带宽消耗型攻击

DDoS带宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击与其类似,是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。

User Datagram Protocol(UDP)floods
UDP是一种无连接协议,当数据包通过UDP发送时,所有的数据包在发送和接收时不需要进行握手验证。当大量UDP数据包发送给受害系统时,可能会导致带宽饱和从而使得合法服务无法请求访问受害系统。遭受DDoS UDP洪泛攻击时,UDP数据包的目的端口可能是随机或指定的端口,受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程序在目标端口运行,受害系统将对源IP发出ICMP数据包,表明“目标端口不可达”。某些情况下,攻击者会伪造源IP地址以隐藏自己,这样从受害系统返回的数据包不会直接回到僵尸主机,而是被发送到被伪造地址的主机。有时UDP洪泛攻击也可能影响受害系统周围的网络连接,这可能导致受害系统附近的正常系统遇到问题。然而,这取决于网络体系结构和线速。
ICMP floods
ICMP floods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。
ping of death(死亡之Ping)
ping of death是产生超过IP协议能容忍的数据包数,若系统没有检查机制,就会死机。
泪滴攻击
每个数据要发送前,该数据包都会经过切割,每个小切割都会记录位移的信息,以便重组,但此攻击模式就是捏造位移信息,造成重组时发生问题,造成错误。

资源消耗型攻击

协议分析攻击(SYN flood,SYN洪水)
传送控制协议(TCP)同步(SYN)攻击。TCP进程通常包括发送者和接受者之间在数据包发送之前创建的完全信号交换。启动系统发送一个SYN请求,接收系统返回一个带有自己SYN请求的ACK(确认)作为交换。发送系统接着传回自己的ACK来授权两个系统间的通讯。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。DDoS TCP SYN攻击也被称为“资源耗尽攻击”,它利用TCP功能将僵尸程序伪装的TCP SYN请求发送给受害服务器,从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用发送系统和接收系统间的三向信号交换来发送大量欺骗性的原IP地址TCP SYN数据包给受害系统。最终,大量TCP SYN攻击请求反复发送,导致受害系统内存和处理器资源耗尽,致使其无法处理任何合法用户的请求。
LAND attack
这种攻击方式与SYN floods类似,不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机。
CC攻击(Distributed HTTP flood,分布式HTTP洪水攻击)
CC攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送大量貌似合法的请求(通常使用HTTP GET)。CC(Challenge Collapsar,挑战黑洞)根据其工具命名,攻击者创造性地使用代理机制,利用众多广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名模式,这使追踪变得非常困难。
僵尸网络攻击
僵尸网络是指大量被命令控制型(C&C)服务器所控制的互联网主机群。攻击者传播恶意软件并组成自己的僵尸网络。僵尸网络难于检测的原因是,僵尸主机只有在执行特定指令时才会与服务器进行通讯,使得它们隐蔽且不易察觉。僵尸网络根据网络通讯协议的不同分为IRC、HTTP或P2P类等。
Application level floods(应用程序级洪水攻击)
与前面叙说的攻击方式不同,Application level floods主要是针对应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。

 

3 评论

评论一下...

电子邮件地址不会被公开。 必填项已用*标注