ddos的攻擊方式有很多種,最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法使用者無法得到服務的響應。
在資訊保安的三要素——「保密性」、「完整性」和「可用性」中,dos(denial of service),即拒絕服務攻擊,針對的目標正是「可用性」。該攻擊方式利用目標系統網路服務功能缺陷或者直接消耗其系統資源,使得該目標系統無法提供正常的服務。
單一的dos攻擊一般是採用一對一方式的,當攻擊目標cpu速度低、記憶體小或者網路頻寬小等等各項指標不高的效能,它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,記憶體大大增加,同時也出現了千兆級別的網路,這使得dos攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分布式的拒絕服務攻擊手段(ddos)就應運而生了。ddos就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
1.synflood
該攻擊以多個隨機的源主機位址向目的主機傳送syn包,而在收到目的主機的syn ack後並不回應,這樣,目的主機就為這些源主機建立了大量的連線佇列,而且由於沒有收到ack一直維護著這些佇列,造成了資源的大量消耗,最終導致拒絕服務。
2.smurf
該攻擊向乙個子網的廣播位址發乙個帶有特定請求(如icmp回應請求)的包,並且將源位址偽裝成想要攻擊的主機位址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。
3.land-based
攻擊者將乙個包的源位址和目的位址都設定為目標主機的位址,然後將該包通過ip欺騙的方式傳送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連線而陷入死迴圈,從而很大程度地降低了系統效能。
4.ping of death
根據tcp/ip的規範,乙個包的長度最大為65536位元組。儘管乙個包的長度不能超過65536位元組,但是乙個包分成的多個片段的疊加卻能做到。當乙個主機收到了長度大於65536位元組的包時,就是受到了ping of death攻擊,該攻擊會造成主機的宕機。
5.teardrop
ip資料報在網路傳遞時,資料報可以分成更小的片段。攻擊者可以通過傳送兩段(或者更多)資料報來實現teardrop攻擊。第乙個包的偏移量為0,長度為n,第二個包的偏移量小於n。為了合併這些資料段,tcp/ip堆疊會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。
6.pingsweep
使用icmp echo輪詢多個主機。
7.pingflood
該攻擊在短時間內向目的主機傳送大量ping包,造成網路堵塞或主機資源耗盡。
(1) 較小流量:
小於1000mbps,且在伺服器硬體與應用接受範圍之內,並不影響業務的: 利用iptables或者ddos防護應用實現軟體層防護。
(2) 大型流量:
大於1000mbps,但在ddos清洗裝置效能範圍之內,且小於機房出口,可能影響相同機房的其他業務的:利用iptables或者ddos防護應用實現軟體層防護,或者在機房出口裝置直接配置黑洞等防護策略,或者同時切換網域名稱,將對外服務ip修改為高負載proxy集群外網ip,或者cdn高仿ip,或者公有雲ddos閘道器ip,由其**到realserver;或者直接接入ddos清洗裝置。
(3) 超大規模流量:
在ddos清洗裝置效能範圍之外,但在機房出口效能之內,可能影響相同機房的其他業務,或者大於機房出口,已經影響相同機房的所有業務或大部分業務的:聯絡運營商檢查分組限流配置部署情況並觀察業務恢復情況。
(1) syn/fin/ack等tcp協議包:
設定預警閥值和響應閥值,前者開始報警,後者開始處理,根據流量大小和影響程度調整防護策略和防護手段,逐步公升級。
(2) udp/dns query等udp協議包:
對於大部分遊戲業務來說,都是tcp協議的,所以可以根據業務協議制定乙份tcp協議白名單,如果遇到大量udp請求,可以不經產品確認或者延遲跟產品確認,直接在系統層面/hpps或者清洗裝置上丟棄udp包。
(3) http flood/cc等需要跟資料庫互動的攻擊:
這種一般會導致資料庫或者webserver負載很高或者連線數過高,在限流或者清洗流量後可能需要重啟服務才能釋放連線數,因此更傾向在系統資源能夠支撐的情況下調大支援的連線數。相對來說,這種攻擊防護難度較大,對防護裝置效能消耗很大。
(4) 其他:
icmp包可以直接丟棄,先在機房出口以下各個層面做丟棄或者限流策略。現在這種攻擊已經很少見,對業務破壞力有限。
DDoS攻擊詳解
巴西世界盃期間,巴西世界盃官網遭黑客ddos攻擊,導致 伺服器死機數小時。據悉,乙個名為 anonymous 的黑客組織實施了這次攻擊。360 安全專家表示,現在ddos攻擊很簡單,任何乙個不懂技術的人都可以發起,已經成為 最大的安全威脅 這種攻擊方式不但是黑客牟利和商業競爭的一種方式,甚至成為網路...
DDOS攻擊詳解
ddos的攻擊方式有很多種,最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法使用者無法得到服務的響應。在資訊保安的三要素 保密性 完整性 和 可用性 中,dos denial of service 即拒絕服務攻擊,針對的目標正是 可用性 該攻擊方式利用目標系統網路服務功能缺陷...
DDoS攻擊介紹,如何防禦DDoS攻擊
分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...