DDoS拒绝服务攻击

https://blog.csdn.net/qq_30135181/article/details/51301768

1.拒绝服务攻击概述
DoS（Denial of Service,拒绝服务）攻击
广义而言，凡是利用网络安全防护措施不足导致用户不能或不敢继续使用正常服务的攻击手段，都称之为拒绝服务攻击。其目的是通过消耗网络带宽或系统资源，使网络或计算机不能提供正常的服务。
DDoS（Distributed Denial of Service, DDoS）
指攻击者通过控制在网络各处的数百甚至数千傀儡主机（又称为肉鸡），发动它们同时向目标进行拒绝服务攻击。

2.拒绝服务攻击原理
DDoS攻击原理
借助客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击。

拒绝服务攻击手段

死亡之ping(ping of death)

系统会提示Badvalue for option –l, valid range is from 0 to 65500
现在绝大多数操作系统进行了漏洞修补。
中美黑客大战用过，8万人对美国白宫官方网站使用ping

（1）SYN泛洪(SYNflood)

专门针对TCP的3次握手过程中两台主机间初始化连接握手进行攻击。
攻击方利用虚假源地址向服务器发送TCP连接请求，服务器回复SYN+ACK数据包。由于发送请求的源地址是假地址，服务器不会得到确认，服务器一般会重试发送SYN+ACK，并等待一段时间（大约30秒-2分钟）后丢弃这个连接，在等待的时间内服务器处于半连接状态，会消耗调资源。当大量的虚假SYN请求到来，会占用服务器的大量资源从而使得目标主机不能向正常请求提供服务。

（2）UDP泛洪
攻击者发送大量伪造源IP地址的小UDP数据包。只要用户开一个UDP端口提供相关服务，就可以针对该服务进行攻击。

（3）Land攻击
由黑客组织Rootshell发现的，攻击目标是TCP三次握手。
利用一个特别打造的SYN包–它的原地址和目标地址（相同）都被设置成某一个服务器地址进行攻击。这将导致接受服务器向它自己的地址发送SYN+ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。

（4）Smurf攻击
攻击者向一个子网的广播地址发送一个带有特定请求（如ping ）的包，并且将源地址伪装成要攻击的主机地址。子网上所有主机都回应广播包的请求，向被攻击主机发送应答，使得网络的带宽下降，严重情况会导致受害主机崩溃。
实施：ping请求源地址：受害方，目的地址：广播地址

（5）SYN变种攻击
发送伪造源IP的SYN数据包，但数据报不是64字节而是上千字节，这种攻击造成防火墙错误锁死，消耗服务器资源，阻塞网络。

（6）TCP混乱数据包攻击
发送伪造源IP的TCP数据包，TCP头部的TCPFlags部分混乱（如syn,ack,syn+ack,syn+rst），会造成防火墙错误锁死，消耗服务器资源，阻塞网络
泪滴攻击（分片攻击）
泪滴（Teardrop）攻击是利用TCP/IP协议的漏洞进行DoS攻击的方式。
攻击者向目的主机发送有重叠偏移量的伪造IP分片数据包，目的主机在重组含有偏移量重叠的数据包时会引起协议栈崩溃。

（7）IP欺骗DoS
攻击者向目的主机发送大量伪造源IP地址（合法用户，已经建立连接）、RST置位的数据包，致使目的主机清空已经建好的连接，从而实现DoS。

（8）针对Web Server的多连接攻击
通过控制大量“肉鸡”同时访问某网站，造成网站无法正常处理请求而瘫痪。

（9）针对Web Server的变种攻击
通过控制大量“肉鸡”同时连接网站，不发送GET请求而是发送乱七八糟的字符，绕过防火墙的检测，造成服务器瘫痪。

4.拒绝服务攻击的防范

DoS特征：
攻击流量的目的地过于集中，且无拥塞控制特性。
DoS攻击流量不会考虑网络拥塞，攻击流量持续不断，出现网络拥塞仍然大量发包，大量无用的数据包加剧网络拥塞，数据包中的源地址一般为伪造。
TCP/UDP流量流向目的端口太多或者目的端口过于集中。
用随机端口攻击目标机，会出现同时向目标机的数千端口发送数据包；用固定端口攻击目标机，会出现同时向目标机的单一端口发送大量数据包。

DoS检测：
（1）基于流量大小的检测
在被保护网络边界（如边界路由器）上部署流量检测算法，根据流量的突发变化检测DoS/DDoS攻击的发生。
（2）基于源IP地址的检测
在被保护网络的边界路由器上部署源IP检测算法，根据源IP个数的变化来判断DoS/DDoS攻击的发生。正常情况下，一个新的时间段的心IP地址基本呈均匀分布。
（3）基于包属性的检测
在DoS攻击时，攻击数据包破坏了正常网络状况下进出数据包在IP数据包头字段的统计学稳定性，因此可以采用一定的算法在正常情况下进行包属性字段的学习，从而有效地判断进出数据包的危险度，进而检测DoS/DDoS攻击。

DoS防范：
增强系统自身的防御能力，防止僵死程序的植入
关闭不必要的服务和端口
及时更新系统补丁
安装查杀病毒的软硬件产品，及时更新病毒库
设置复杂口令，降低系统被控制的可能性
经常检测网络和主机的脆弱性，查看网上漏洞数据库，以减少或避免主机成为“肉鸡”的可能性
重要Web服务器，为一个域建立多个镜像实现负载均衡，在一定程度上减轻DDoS攻击的危害

DDoS拒绝服务攻击相关推荐

DDOS拒绝服务攻击种类与概念介绍
一. 简述随着网络技术和网络应用的发展,网络安全问题显得越来越重要,已经被提到一个很高高的高度.DDOS攻击随着互联网的快速发展,也日益猖獗,从原来的的几兆.几十兆,到现在的几十G.几十T的流量攻击 ...
Kali渗透-DDOS拒绝服务攻击
前言严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 本文目的演示如何借助 Kali Linux 系统内置的一个 TCP/IP 数据包组装/分析工具 hping 和在 Github 上开源的 ...
【计算机网络】网络安全 : 计算机网络安全威胁 ( 四种网络攻击类型 | 主动攻击与被动攻击 | 分布式拒绝服务攻击 DDos | 恶意程序 | 计算机网络安全目标)
文章目录一.网络安全内容二.四种网络攻击三.被动攻击与主动攻击四.分布式拒绝服务 DDos 五.恶意程序六.计算机网络安全目标一.网络安全内容网络安全内容 : 网络安全概述对称加密 ...
分布式拒绝服务攻击(DDoS)原理及防范
转自:http://www.cnblogs.com/rootq/archive/2009/11/06/1597215.html http://www.ibm.com/developerworks/cn ...
DDoS分布式拒绝服务攻击简介
分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同 ...
【网络安全】——服务端安全（注入攻击、认证与会话管理和访问控制、访问控制、加密算法与随机数、Web框架安全、应用层拒绝服务攻击DDOS）
这一篇博客记录的是服务端安全应用安全的知识,学习内容来自<白帽子讲Web安全>. 承接自上一篇客户端安全之后,包括注入攻击.认证与会话管理和访问控制.访问控制.加密算法与随机数.Web ...
DoS、DDoS、LDoS三种拒绝服务攻击模式科普
引言 DOS.DDOS.LDOS是三种网络攻击模式,想要产生一个网络攻击必须包含三要素:攻击发起者.受害者和攻击方法.正是由于三要素的不同使之出现了三种网络攻击模式. 一.拒绝服务(DoS) 广义而言 ...
DDoS攻击详解ufonet、Mirai分布式拒绝服务攻击工具的介绍
前言大家好.今天和大家聊聊DDoS攻击首先,我写这篇文章的目的是为了让大家更多的去了解如何防护DDoS攻击,所以请勿用作违法行为! 不知攻,何知防?在我们对DDoS攻击进行防御之前,一定要了解骇客 ...
拒绝服务攻击（DOS和DDOS）
简介: **DDoS:(Distributed Denial of Service)**攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高 ...

DDoS拒绝服务攻击

DDoS拒绝服务攻击相关推荐

最新文章

热门文章