新闻资讯
看你所看,想你所想

散式阻断服务攻击

2020-01-10 06:56:12分类:首页  /  百科
散式阻断服务攻击

散式阻断服务攻击

拒绝服务攻击(英语:denial-of-service attack,缩写:DoS attackDoS)亦称洪水攻击,是一种网上攻击手法,其目的在于使目标计算机的网上或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。

基本介绍

  • 中文名:散式阻断服务攻击
  • 外文名:denial-of-service attack
  • 简介:分散式阻断服务攻击
  • 亦作:分散式拒绝服务攻击
  • 通常:简称为DDoS

简介

拒绝服务攻击(英语:denial-of-service attack,缩写:DoS attackDoS)亦称洪水攻击,是一种网上攻击手法,其目的在于使目标计算机的网上或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
当黑客使用网路上两个或以上被攻陷的计算机作为“殭尸”向特定的目标发动“拒绝服务”式攻击时,称为分散式拒绝服务攻击(distributed denial-of-service attack,缩写:DDoS attackDDoS)。据2014年统计,被确认为大规模DDoS的攻击已达平均每小时28次。DDoS发起者一般针对重要服务和知名网站进行攻击,如银行、信用卡支付网关、甚至根域名伺服器等。
DoS也常见于部分网路游戏,被心怀不满的玩家或是竞争对手广泛使用。DoS也常被用于抗议,自由软体基金会创办人理察·斯托曼曾表示,DoS是“网路街头抗议”的一种形式。

攻击现象

例如,美国国土安全部旗下的美国计算机应急準备小组(US-CERT)定义的拒绝服务攻击症状包括:
  1. 网路异常缓慢(打开档案或访问网站)
  2. 特定网站无法访问
  3. 无法访问任何网站
  4. 垃圾邮件的数量急剧增加
  5. 无线或有线网路连线异常断开
  6. 长时间尝试访问网站或任何网际网路服务时被拒绝
  7. 伺服器容易断线、卡顿
拒绝服务的攻击也可能会导致目标计算机同一网路中的其他计算机被攻击,网际网路和区域网路之间的频宽会被攻击导致大量消耗,不但影响目标计算机,同时也影响区域网路中的其他计算机。如果攻击的规模较大,整个地区的网路连线都可能会受到影响。
2018年3月,原始码託管服务GitHub遭到迄今为止规模最大的DDoS攻击。

攻击方式

DDoS攻击可以具体分成两种形式:频宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网路以及器材资源,以达到瘫痪网路以及系统的目的。
频宽消耗型攻击
DDoS频宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用殭尸程式传送大量流量至受损的受害者系统,目的在于堵塞其频宽。放大攻击与其类似,是通过恶意放大流量限制受害者系统的频宽;其特点是利用殭尸程式通过伪造的源IP(即攻击目标IP)向某些存在漏洞的伺服器传送请求,伺服器在处理请求后向伪造的源IP传送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的频宽就能使伺服器传送大量的应答到目标主机上。
  • UDP洪水攻击(User Datagram Protocol floods)
  • UDP(用户数据报协定)是一种无连线协定,当数据包通过UDP传送时,所有的数据包在传送和接收时不需要进行握手验证。当大量UDP数据包传送给受害系统时,可能会导致频宽饱和从而使得合法服务无法请求访问受害系统。遭受DDoS UDP洪泛攻击时,UDP数据包的目的连线埠可能是随机或指定的连线埠,受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程式在目标连线埠运行,受害系统将对源IP发出ICMP数据包,表明“目标连线埠不可达”。某些情况下,攻击者会伪造源IP位址以隐藏自己,这样从受害系统返回的数据包不会直接回到殭尸主机,而是被传送到被伪造地址的主机。有时UDP洪泛攻击也可能影响受害系统周围的网路连线,这可能导致受害系统附近的正常系统遇到问题。然而,这取决于网路体系结构和线速。
  • ICMP洪水攻击(ICMP floods)
  • ICMP(网际网路控制讯息协定)洪水攻击是通过向未良好设定的路由器传送广播信息占用系统资源的做法。
  • 死亡之Ping(ping of death)
  • 死亡之Ping是产生超过IP协定能容忍的数据包数,若系统没有检查机制,就会当机。
  • 泪滴攻击
  • 每个数据要传送前,该数据包都会经过切割,每个小切割都会记录位移的信息,以便重组,但此攻击模式就是捏造位移信息,造成重组时发生问题,造成错误。

防御方式

拒绝服务攻击的防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网路频宽的流量将被过滤,而正常的流量可正常通过。

防火墙

防火墙可以设定规则,例如允许或拒绝特定通讯协定,连线埠或IP位址。当攻击从少数不正常的IP位址发出时,可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信。
複杂攻击难以用简单规则来阻止,例如80连线埠(网页服务)遭受攻击时不可能拒绝连线埠所有的通信,因为其同时会阻止合法流量。此外,防火墙可能处于网路架构中过后的位置,路由器可能在恶意流量达到防火墙前即被攻击影响。然而,防火墙能有效地防止用户从启动防火墙后的计算机发起攻击。

交换机

大多数交换机有一定的速度限制和访问控制能力。有些交换机提供自动速度限制、流量整形、后期连线、深度包检测和假IP过滤功能,可以检测并过滤拒绝服务攻击。例如SYN洪水攻击可以通过后期连线加以预防。基于内容的攻击可以利用深度包检测阻止。

路由器

和交换机类似,路由器也有一定的速度限制和访问控制能力,而大多数路由器很容易受到攻击影响。

黑洞引导

黑洞引导指将所有受攻击计算机的通信全部传送至一个“黑洞”(空接口或不存在的计算机地址)或者有足够能力处理洪流的网路设备商,以避免网路受到较大影响。

流量清洗

当流量被送到DDoS防护清洗中心时,通过採用抗DDoS软体处理,将正常流量和恶意流量区分开。正常的流量则回注回客户网站。这样一来可站点能够保持正常的运作,处理真实用户访问网站带来的合法流量。

参看

  • 入侵预防系统

相关推荐

声明:此文信息来源于网络,登载此文只为提供信息参考,并不用于任何商业目的。如有侵权,请及时联系我们:yongganaa@126.com