DDOS攻擊詳解

2021-02-13 Linux就該這麼學


Ddos的攻擊方式有很多種,最基本的Dos攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。

在信息安全的三要素——「保密性」、「完整性」和「可用性」中,DoS(Denial of Service),即拒絕服務攻擊,針對的目標正是「可用性」。該攻擊方式利用目標系統網絡服務功能缺陷或者直接消耗其系統資源,使得該目標系統無法提供正常的服務。

DDos攻擊

Ddos的攻擊方式有很多種,最基本的Dos攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項指標不高的性能,它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少。這時候分布式的拒絕服務攻擊手段(DDoS)就應運而生了。DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。

一、攻擊方式

Synflood
該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗,最終導致拒絕服務。

Smurf
該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包,並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。

Land-based
攻擊者將一個包的源地址和目的地址都設置為目標主機的地址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環,從而很大程度地降低了系統性能。

Ping of Death
根據TCP/IP的規範,一個包的長度最大為65536位元組。儘管一個包的長度不能超過65536位元組,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。

Teardrop
IP數據包在網絡傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合併這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。

PingSweep
使用ICMP Echo輪詢多個主機。

Pingflood
該攻擊在短時間內向目的主機發送大量ping包,造成網絡堵塞或主機資源耗盡。

二、防禦方法

按攻擊流量規模分類
(1) 較小流量:
小於1000Mbps,且在伺服器硬體與應用接受範圍之內,並不影響業務的: 利用iptables或者DDoS防護應用實現軟體層防護。
(2) 大型流量:
大於1000Mbps,但在DDoS清洗設備性能範圍之內,且小於機房出口,可能影響相同機房的其他業務的:利用iptables或者DDoS防護應用實現軟體層防護,或者在機房出口設備直接配置黑洞等防護策略,或者同時切換域名,將對外服務IP修改為高負載Proxy集群外網IP,或者CDN高仿IP,或者公有雲DDoS網關IP,由其代理到RealServer;或者直接接入DDoS清洗設備。
(3) 超大規模流量:
在DDoS清洗設備性能範圍之外,但在機房出口性能之內,可能影響相同機房的其他業務,或者大於機房出口,已經影響相同機房的所有業務或大部分業務的:聯繫運營商檢查分組限流配置部署情況並觀察業務恢復情況。

按攻擊流量協議分類
(1) syn/fin/ack等tcp協議包:
設置預警閥值和響應閥值,前者開始報警,後者開始處理,根據流量大小和影響程度調整防護策略和防護手段,逐步升級。
(2) UDP/DNS query等UDP協議包:
對於大部分遊戲業務來說,都是TCP協議的,所以可以根據業務協議制定一份TCP協議白名單,如果遇到大量UDP請求,可以不經產品確認或者延遲跟產品確認,直接在系統層面/HPPS或者清洗設備上丟棄UDP包。
(3) http flood/CC等需要跟資料庫交互的攻擊:
這種一般會導致資料庫或者webserver負載很高或者連接數過高,在限流或者清洗流量後可能需要重啟服務才能釋放連接數,因此更傾向在系統資源能夠支撐的情況下調大支持的連接數。相對來說,這種攻擊防護難度較大,對防護設備性能消耗很大。
(4) 其他:
icmp包可以直接丟棄,先在機房出口以下各個層面做丟棄或者限流策略。現在這種攻擊已經很少見,對業務破壞力有限。

讓您學習到的每一節課都有所收穫

《Linux就該這麼學》是一本由資深運維專家劉遄老師及國內多名紅帽架構師(RHCA)基於最新RHEL7系統共同編寫的高質量Linux技術自學教程,極其適合用於Linux技術入門教程或講課輔助教材。榮獲雙11、雙12購物狂歡節IT品類書籍銷量冠軍,2017年、2018年國內讀者增速最快的技術書籍,您可以在京東、噹噹、亞馬遜及天貓搜索書名後購買,亦可加劉遄老師微信交流學習(手指按住下圖3秒鐘即可自動掃描)~

劉遄老師QQ:5604215

☀ Linux技術交流群:560843新群,火熱加群中……

☀ 官方站點:www.linuxprobe.com

☀ 書籍在線學習(電腦在線閱讀效果更佳

http://www.linuxprobe.com/chapter-00.html

《Linux就該這麼學》是一本基於最新Linux系統編寫,面向零基礎讀者的技術書籍。從Linux基礎知識講起,然後漸進式地提高內容難度,詳細講解Linux系統中各種服務的工作原理和配置方式,以匹配真實生產環境對運維人員的要求,突顯內容的實用性。想要學習Linux系統的讀者可以點擊"閱讀原文"按鈕了解這本書,同時這本書也適合專業的運維人員閱讀,作為一本非常有參考價值的工具書!

相關焦點

  • 強大的Ddos攻擊工具-Ddos-dos-tools!
    Ddos-dos-tools是GitHub上一位叫wenfengshi大神所開發的ddos攻擊工具,但工具在一定程度上定義不只是作為攻擊,還可以作為對系統進行自檢的一種途徑,通過對系統發起ddos攻擊來驗證系統的抗風險能力。
  • DDOS攻擊如何防禦
    流量攻擊是消耗網絡帶寬或使用大量數據包淹沒一個或多個路由器、伺服器和防火牆;帶寬攻擊的普遍形式是大量表面看合法的TCP、UDP或ICMP數據包被傳送到特定目的地;為了使檢測更加困難,這種攻擊也常常使用源地址欺騙,並不停地變化,這種攻擊形式需要通過第三方抗ddos服務(阿里雲、百度雲抗、騰訊雲),可以實現防禦。
  • 淺析各類DDoS攻擊放大技術
    公開DNS解析和NTP協議MONLIST命令攻擊,兩種攻擊方法依靠其協議的廣泛應用,影響範圍不言而喻。混合放大,利用通用協議的攻擊方式很穩定,通過標準的結點發現機制很快找到放大點。由於其利用的動態埠範圍和握手加密,攻擊不會被常規防火牆發現,只有進行深度的包檢查才能發現。
  • DDoS攻擊花樣百出,第三季度多個行業被暴擊
    相反,他們看到的是 DNS、SNMP 和其他通常出現在放大攻擊和殭屍網絡 DDoS 攻擊中的流量。卡巴斯基實驗室研究人員也同時發現,第三季度發現的最大攻擊帶寬為 612 Gbps,比第二季度增長了 49%;基於數據包速率統計的最大攻擊規模為252 Mbps,較第二季度增加了 91%;對客戶的最長攻擊持續了兩周,突顯了 DDoS 可能對組織產生較嚴重影響;在受攻擊次數達 500 次的行業中,受攻擊最頻繁的行業是電信和軟體/技術,其次是零售;28% 的多重緩解措施首次面對四種不同攻擊類型的複雜組合
  • 在Linux上使用netstat命令查證DDOS攻擊的方法
    導讀DOS攻擊或者DDOS攻擊是試圖讓機器或者網絡資源不可用的攻擊這種攻擊的攻擊目標網站或者服務通常是託管在高防伺服器比如銀行,信用卡支付網管,甚至根域名伺服器。伺服器出現緩慢的狀況可能由很多事情導致,比如錯誤的配置,腳本和差的硬體。但是有時候它可能因為有人對你的伺服器用DoS或者DDoS進行洪水攻擊。
  • 脈衝波(Pulse Wave):一種新型的DDoS攻擊模式
    近日,DDoS攻擊解決方案提供商Imperva公司發現了一種新型的DDoS攻擊模式,他們將其命名為:脈衝波(Pulse Wave),這種新型餓DDoS攻擊方法給某些DDoS攻擊解決方案帶來了問題,因為它允許攻擊者攻擊以前認為是安全的伺服器
  • 【連載】每秒百萬級CC攻擊----DDOS 防禦事件(二)
    DDoS攻擊勢頭愈演愈烈,除了攻擊手法的多樣化發展之外,udp攻擊是相對比如好防禦,這是四層流量攻擊。最麻煩的攻擊手段是cc攻擊。下面我祥細講講CC攻擊之後有什麼表現,如何防禦,有Cc有什麼攻擊類型。早些年,最早做視頻直播的是在韓國,他們在中國周邊,也就是延邊那些地區招了一些會說韓語的女孩子陪韓國大叔聊天,韓國大叔就會給禮品。
  • DDOS工具推薦
    然而隨著網絡上免費的可用DDOS工具增多,Dos攻擊也日益增長,下面介紹幾款Hacker常用的Dos攻擊工具。‍特別提示:僅用於攻防演練及教學測試用途,禁止非法使用‍正文‍‍1、盧瓦(LOIC) (Low Orbit Ion Canon)LOTC是一個最受歡迎的DOS攻擊工具。這個工具被去年流行的黑客集團匿名者用於對許多大公司的網絡攻擊。
  • 預警:土耳其圖蘭軍揚言要集中攻擊中國站點
    111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111
  • 回顧網易2020年DDoS攻擊,我們怎麼解決的?(文末有福利)
    我們今天介紹的就是四層DDoS,傳輸層以下(包括傳輸層)的DDoS攻擊。應用層DDoS又叫CC攻擊,針對的是HTTP協議的攻擊,我廠基本沒有遭受過此類攻擊,掃描器請求倒不少,這裡略過。攻擊百G峰值佔比攻擊流量是年年新高,以前的100G+的攻擊是個稀罕物,現在基本月月見。原因就是網絡帶寬越來越大,肉雞越來越多了。
  • 什麼是DDoS攻擊?如何抵禦DDos攻擊?
    分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/伺服器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。
  • 德國Tutanota遭到DDoS攻擊導致服務暫時中斷;IBM發現殭屍網絡Mozi佔IoT設備流量的近90%
    【攻擊事件】德國Tutanota遭到DDoS攻擊導致服務暫時中斷印度NIC遭到攻擊,其超過100臺計算機受到影響【威脅情報】英國NCSC警告針對教育機構的勒索軟體攻擊激增IBM發現殭屍網絡Mozi佔IoT設備流量的近90%【分析報告】Group-IB發布2020年上半年網絡釣魚中主要威脅的報告
  • 俄羅斯新法案強制手機和PC預安裝本國軟體;卡巴斯基發布2019年Q3 DDoS攻擊報告
    【法律法規】俄羅斯新法案強制手機和PC預安裝本國軟體【分析報告】卡巴斯基發布2019年Q3 DDoS攻擊報告【威脅情報】勒索軟體即服務Buran積極在暗網論壇傳播釣魚活動偽裝成英國司法部傳播Predator the Thief【安全播報】Adobe移動SDK中的默認配置存在安全風險
  • 卡巴斯基實驗室:2019Q4 DDoS攻擊趨勢報告
    在2019年第四季度,360 Netlab的研究人員發現了兩個利用這種攻擊方式的新型殭屍網絡。第一個被稱為Roboto,它利用Webmin遠程管理程序中的一個已知漏洞攻擊Linux伺服器。安全專家指出,該惡意軟體儘管具有DDoS攻擊的功能,但目前尚未進行DDoS攻擊。
  • 美國大規模DDoS攻擊實為T-Mobile配置錯誤導致;TCP/IP軟體庫中漏洞Ripple20影響數十億IoT設備
    【威脅情報】美國大規模DDoS攻擊實為T-Mobile配置錯誤導致【安全漏洞】TCP/IP軟體庫中新漏洞Ripple20,或將影響數十億網絡設備黑客利用Apple中DLL劫持漏洞分發惡意挖礦軟體【分析報告】Graphika發布報告揭露俄Secondary Infektion 6年來攻擊活動
  • T級攻防:大規模DDOS防禦架構
    ,因為DDOS是一類攻擊而並不是一種攻擊,並且DDOS的防禦是一個可以做到相對自動化但做不到絕對自動化的過程,很多演進的攻擊方式自動化不一定能識別,還是需要進一步的專家肉眼判斷。 網絡層的攻擊檢測通常分為逐流和逐包,前者根據netflow以一定的抽樣比例(例如1000:1)檢測網絡是否存在ddos攻擊,這種方式因為是抽樣比例,所以精確度較低,做不到秒級響應。第二種逐包檢測,檢測精度和響應時間較短,但成本比較高,一般廠商都不會無視TCO全部部署這類方案。
  • 【DDOS】攻擊與防禦
    受攻擊方惡意將流量轉嫁給無辜者的情況屢見不鮮,我國已有多家省級政府網站遭受過流量轉嫁攻擊。維基解密網站也曾因為遭受DDOS攻擊而癱瘓,被迫關閉了10餘天。DDOS是目前企事業單位遭遇較多的一種網絡攻擊,DDOS目的很簡單,就是使計算機或網絡無法提供正常的服務。DDOS攻擊最早可追溯到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模。
  • DDoS攻擊工具演變
    ,因為事實上的DDoS攻擊,都是依靠攻擊工具來實施的。IP網絡是」盡力發送」網絡,只要網絡帶寬足夠大,就可以發送大量報文,攻擊工具正是利用這特性得以存在和發展。  對攻擊工具工作原理的分析,並不是去了解它們的實現設計,而是分析其所產生的攻擊類型,深入了解攻擊類型才是研究工具的核心。通常攻擊分類可以從協議層面和被攻擊目標的影響方式不同來劃分。  協議層別劃分的攻擊類型主要有傳輸層攻擊和應用層攻擊。
  • 淺談 DDoS 攻擊與防禦
    每一種攻擊類型都有其特點,而反射型的 DDoS 攻擊是一種新的變種。攻擊者並不直接攻擊目標服務的 IP,而是利用網際網路的某些特殊服務開放的伺服器,通過偽造被攻擊者的 IP 地址向有開放服務的伺服器發送構造的請求報文,該伺服器會將數倍於請求報文的回覆數據發送到被攻擊 IP,從而對後者間接形成 DDoS 攻擊。
  • 秒懂 DDoS 攻擊!
    DDoS攻擊經過十幾年的發展,已經「進化」的越來越複雜,黑客不斷升級新的攻擊方式以便於繞過各種安全防禦措施。一、什麼是Ddos攻擊DDoS攻擊一般指分布式拒絕攻擊,是一種攻擊者操縱大量計算機,或位於不同位置的多個攻擊者,在短時間內通過將攻擊偽裝成大量的合法請求,向伺服器資源發動的攻擊,導致請求數量超過了伺服器的處理能力,造成伺服器運行緩慢或者宕機。