DDoS --- 分布式拒绝服务(Disturbuted Denial of Service)

DDOS攻击都是由僵尸网络发起的

僵尸网络的通信协议:IRD --> HTTP --> P2P

  1. IRC型僵尸网络
  2. HTTP型网络
  3. P2P型网络

僵尸网络的危害

  1. 发送DDOS攻击
  2. 发送垃圾邮件
  3. 窃取敏感信息
  4. 抢占系统资源

分布式拒绝服务攻击:利用分布式的客户端,像服务提供者发起大量看似合法的请求,消耗和长期占用大量资源,从而达到拒绝服务的目的

攻击网络带宽资源

利用受控主机发送大量的网络数据包,占满被攻击目标的全部带宽,从而使正常的请求无法得到及时有效的响应,造成拒绝服务。

  1. 直接攻击
    ICMP/IGMP洪水攻击、UDP洪水攻击(大包,小包)
  2. 反射和放大攻击(DRDOS)
    反射:利用路由器,服务器等设施对请求产生应答,从而反射攻击流量并隐藏攻击来源。
    反射攻击的数据包
    目IP: 反射器的服务器,路由器
    源IP: 被攻击目标的IP
    放大攻击:反射器对于网络流量具有放大作用。

    ACK反射攻击

    DNS放大攻击(UDP)

    DNS响应数据包会比查询数据包大
    DNS扩展机制 EDNS0: 扩展了DNS数据包的结构

    NTP放大攻击

    Network Time Protocol:基于UDP123端口

    SNMP放大攻击

    Simple Network Management Protocol:基于UDP161端口
    GetBulk请求:该请求会通知设备返回尽可能多的数据使得管理程序能够通过发送一次请求就获得大量的检索信息。

  3. 攻击链路(Coremelt攻击)
    目标:骨干网上的链路的带宽资源

攻击系统资源

攻击TCP连接

  1. TCP连接洪水攻击
    攻击者利用大量受控主机,通过快速建立大量而已的TCP连接占满被攻击目标的连接表,是目标无法接受新的TCP连接请求,从而达到拒绝服务攻击。
  2. SYN洪水攻击
    利用受控主机发送大量的TCP的SYN报文,使服务器打开大量的半开连接,占满服务器的连接表。
    Better:将SYN报文的源IP地址随机伪造成其他主机的IP地址,或是不存在的IP地址。
  3. PSH+ACK洪水攻击
    原理:当服务器收到一个设置了PSH+ACK标志的报文时,意味着当前数据传输已经结束,因此需要立即将这些数据递交给服务器进程并清空接受缓冲区,而无须等待判断是否还会有额外的数据到达。
    攻击者利用受控主机向攻击目标发送大量的PSH+ACK数据包时,被攻击目标就会消耗大量的系统资源不断地进行缓冲区的清空处理,导致无法正常处理数据,从而造成拒绝服务。
  4. RST洪水攻击
    原理:当客户端或服务器其中之一出现异常情况,无法正常完成TCP四次挥手已终止连接,就会使用RST报文将连接强制中断。
    攻击者利用大量的受控主机猜测端口和序列号,进行盲打,发送RST洪水攻击。
    TCP RST攻击:攻击者和被攻击者处于同一内网。
  5. Sockstress攻击
    将TCP窗口设为0或者极小的值。

攻击SSL连接

  1. THC SLL Dos 攻击
    利用Renegotiation选项,攻击者反复不断地记性密钥重新协商过程,
  2. SSL洪水攻击(SSL Squeeze)
    原理:对于客户端发送过来的数据,服务器需要花费大量的计算资源进行解密,之后才能对数据的有效性进行检验。
    攻击者并不需要完成SSL握手和密钥交换,只需要在这个过程中让服务器去解密和验证。

攻击应用资源

攻击DNS服务

  1. DNS QUERY 洪水攻击(域名是不同的且存在的)
    想DNS服务器发送大量查询请求(域名是不同的且存在的),以达到拒绝服务效果。
  2. DNS NXDOMAIN 洪水攻击(域名是不存在的)
    在进行DNS NXDOMAIN 洪水攻击时,DNS服务器会进行多次域名查询,同时其缓存会被大量NXDOMIAN记录所填满。

攻击WEB服务

  1. HTTP 洪水攻击(CC攻击)
    利用大量受控主机不断的想WEB服务器恶意发送大量HTTP请求,要求WEB服务器处理。
    HTTP过程会建立TCP连接,可以使用HTTP代理服务器,隐藏自己。

    注:针对不同资源和页面的HTTP请求,尽可能请求无法缓存的资源。
  2. Slowloris 攻击
    原理:在HTTP协议中规定,HTTP头部以连续的“\r\n\r\n”作为结束标志。
    攻击者在发送HTTP GET请求时,缓慢的发送无用的header字段,并一直不发送“\r\n\r\n”结束标志,这样就能够长时间占用与WEB服务器的连接并保证该连接不被超时中断。
  3. 慢速POST请求攻击(slowhttptest)
    利用缓慢发送HTTP BODY 方式达到占用并耗尽WEB服务器连接的资源的目的。
    注:将 Content-Length 设置为一个很大的值。
  4. 数据处理过程攻击(ReDOS)
    WEB服务器在收到HTTP请求之后,需要检查并处理其中的数据,通过恶意构造请求数据的内容,攻击者可以显著地增加数据处理过程中的资源消耗,造成拒绝服务攻击。

DDOS攻击工具

  1. 综合性工具
    HPing、PenTBox、Zarp
  2. 压力测试工具
    LOIC(不能伪造源IP)、HOIC(无法改变攻击端口)、 HUIK
  3. 专业攻击工具
    Slowloris、R.U.D.Y(慢速HTTP POST请求)、THC SSL DOS

治理

  1. 僵尸网络的治理
  2. 地址伪造攻击的治理
  3. 攻击反射点的治理

缓解DDOS攻击

攻击流量的稀释

  1. CDN:在互联网范围内广泛设置多个节点作为代理缓存,并将用户的访问请求导向最近的缓存节点(智能DNS系统)(对域名访问有效,对IP访问无效)
  2. Anycast:一组提供特定服务的主机可以使用相同的IP地址,同时,服务访问方的请求报文将会被IP网络路由到这一组目标中拓扑结构最近的一台主机上。

攻击流量的清洗

  1. IP信誉检查
  2. 攻击特征匹配
  3. 速度检查与限制
  4. TCP代理和验证
  5. 协议完整性验证
  6. 客户端真是性验证

原文地址:http://blog.51cto.com/13737045/2114541

时间: 2024-10-27 17:32:34

DDoS --- 分布式拒绝服务(Disturbuted Denial of Service)的相关文章

DDOS分布式拒绝服务

DDOS(分布式拒绝服务)概念 DDOS称为分布式拒绝服务,DDOS本是利用合理的请求伪造资源过载,导致服务不可用.比如一个停车场有100个停车位,当100个停车位都停满后,再有车想要进来.就必须要等已有的车先出来才行.如果已有的车一直不出去,那么停车场的入口就会排有长队.停车场的负荷过载.不能进行正常工作了,这种情况就是"拒绝服务".我们的系统就好比停车场,系统中的资源就是车位,资源是有限的,而服务必须一直提供下去.如果资源已经被占用了,那么服务也将过载,导致系统停止新的响应. 分布

DDOS分布式拒绝服务攻击

概念: 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力.通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上.代理程序收到指令时就发动攻击.利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行. 原理: SYN-

DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式.http://blog.csdn.net/bill_lee_sh_cn/article/details/6065704SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒

Identifying a distributed denial of service (DDOS) attack within a network and defending against such an attack

The invention provides methods, apparatus and systems for detecting distributed denial of service (DDoS) attacks within the Internet by sampling packets at a point or points in Internet backbone connections to determine a packet metric parameter. The

分布式拒绝服务(DDOS)攻击发展趋势

分布式拒绝服务 (DDoS) 攻击虽然已不是一个新概念,但其攻击效果却非常有效.近年来,DDoS 攻击的强度和数量不断上升,但攻击时间却通常仅持续数小时.攻击者轻而易举就可实施攻击,并给目标公司带来毁灭性打击.特别是目前极为常见的放大攻击,此类攻击支持小型僵尸网络入侵大型目标.攻击过程中,攻击者向第三方服务发送欺骗性流量,并向攻击目标提供回复.为放大响应流量,攻击者会选择使用智能查询技术,从而导致产生大量服务回复.例如,它可能会向 DNS 服务器重复请求所有记录,或使用 NTP 服务器的 mon

web前端安全之分布式拒绝服务攻击

一.DDOS攻击的原理分布式拒绝服务,Distributed Denial of Service,利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务.通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的.具体有几种形式: 通过使网络过载来干扰甚至阻断正常的网络通讯: 通过向服务器提交大量请求,使服务器超负荷: 阻断某一用户访问服务器: 阻断某服务与特定系统或个人的通讯. SYN攻击,synchronous,属于DDOS攻击中的一种具体表现形式.SYN是TCP

Slow HTTP Denial of Service Attack

整改建议 1.中断使用URL不支持HTTP方法访问的会话 2.限制HTTP头及包长至一个合理数值 3.设置一个绝对的会话超时时间 4.服务器支持backlog的情况下,需设置一个合理的大小 5.设置一个最小的入站数据传输速率 渗透状况: 安全扫描+手工测试. 漏洞原理: 扫描发现Web 服务器或应用程序服务器存在Slow HTTP Denial of Service Attack漏洞. 漏洞危害: 当恶意攻击者以很低的速率发起HTTP请求,使得服务端长期保持连接,这样使得服务端容易造成占用所有可

Slow HTTP Denial of Service Attack 漏洞解决办法

问题名称: Slow HTTP Denial of Service Attack 问题URL http://10.238.*.*:58*** 风险等级: 高 问题类型: 服务器配置类 漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的 content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开.这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS. 解决方案: 对web服务器的http头部传输的最大许

分布式拒绝服务攻击(DDoS)原理及防范

DDoS攻击概念 DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应. DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式.单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低.内存小或者网络带宽小等等各项性能指标不高它的效果是明显的.随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 – 目标对恶意攻击包的”消化能力”加强了不