首页
DDoS攻击: 分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。(摘自百度百科)
比较老的攻击方式有ICMP Flood和UDP Flood,现在已经不多见了。因为它们攻击方式单一,主要是靠蛮力,并且很容易防御。
下面介绍一些常见的、具有代表性的DDoS攻击:
SYN Flood:
TCP协议为了实现可靠传输,在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文,会一直处于SYN_RECV状态,将客户端IP加入等待列表,并重发第二步的SYN+ACK报文。重发一般进行3-5次,大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面,服务器在自己发出了SYN+ACK报文后,会预分配资源为即将建立的TCP连接储存信息做准备,这个资源在等待重试期间一直保留。
SYN Flood正是利用了上文中TCP协议的设定,达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址几乎不可能存在,也就几乎没有设备会给服务器返回任何应答了。因此,服务器将会维持一个庞大的等待列表,不停地重试发送SYN+ACK报文,同时占用着大量的资源无法释放。
DNS Query Flood:
作为互联网最基础、最核心的服务,DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务,或者打垮一个地区的网络服务。
攻击者操纵大量傀儡机器向被攻击的DNS服务器发送大量的域名解析请求,这些域名是随机生成的或世界上根本不存在的。被攻击的DNS现在本地缓存查找该域名的记录,没有找到则向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
对DNS的攻击不应该只着重于UDP端口,根据DNS协议,TCP端口也是标准服务。在攻击时,可以UDP和TCP攻击同时进行。
HTTP Flood(也叫CC攻击):
是目前应用层攻击的主要手段之一。攻击者并不需要控制大批的傀儡机,取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源,花几天时间获取代理并不是难事,因此攻击容易发起而且可以长期高强度的持续。
另一方面,HTTP Flood攻击在HTTP层发起,极力模仿正常用户的网页请求行为,与网站业务紧密相关,安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则,换一个场景可能带来大量的误杀。
下面高端一些的:
Slowloris攻击(属于慢速连接攻击):
正常的HTTP包头是以两个CLRF(\r\n)表示HTTP Headers部分结束的,如果Web Server只收到了一个\r\n或没有收到\r\n,将认为HTTPHeaders部分没有结束,并保持这些连接不释放,继续等待完整的请求。
攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,导致服务端认为HTTP头部没有接收完成而一直等待。
DRDoS(分布式反射拒绝服务攻击):
原理:攻击方将发送的SYN包中的源地址伪造成受害者的地址,那么收到SYN包的服务器将把SYN|ACK应答包返回给受害者。说白了就是以受害者的名义发出的TCP SYN连接请求给互联网上的主机,然后这些被欺骗的主机将应答都发给了受害者。
反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。
DRDoS+流量放大攻击
DRDoS攻击可以隐藏自身,但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包,整个攻击的投资回报率不高。
如果回包体积比较大或协议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。
常见的SSDP协议为例,攻击者将Searchtype设置为ALL,搜索所有可用的设备和服务,这种递归效果产生的放大倍数是非常大的,攻击者只需要以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。
比较老的攻击方式有ICMP Flood和UDP Flood,现在已经不多见了。因为它们攻击方式单一,主要是靠蛮力,并且很容易防御。
下面介绍一些常见的、具有代表性的DDoS攻击:
SYN Flood:
TCP协议为了实现可靠传输,在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的最终ACK确认报文,会一直处于SYN_RECV状态,将客户端IP加入等待列表,并重发第二步的SYN+ACK报文。重发一般进行3-5次,大约间隔30秒左右轮询一次等待列表重试所有客户端。另一方面,服务器在自己发出了SYN+ACK报文后,会预分配资源为即将建立的TCP连接储存信息做准备,这个资源在等待重试期间一直保留。
SYN Flood正是利用了上文中TCP协议的设定,达到攻击的目的。攻击者伪装大量的IP地址给服务器发送SYN报文,由于伪造的IP地址几乎不可能存在,也就几乎没有设备会给服务器返回任何应答了。因此,服务器将会维持一个庞大的等待列表,不停地重试发送SYN+ACK报文,同时占用着大量的资源无法释放。
DNS Query Flood:
作为互联网最基础、最核心的服务,DNS自然也是DDoS攻击的重要目标之一。打垮DNS服务能够间接打垮一家公司的全部业务,或者打垮一个地区的网络服务。
攻击者操纵大量傀儡机器向被攻击的DNS服务器发送大量的域名解析请求,这些域名是随机生成的或世界上根本不存在的。被攻击的DNS现在本地缓存查找该域名的记录,没有找到则向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
对DNS的攻击不应该只着重于UDP端口,根据DNS协议,TCP端口也是标准服务。在攻击时,可以UDP和TCP攻击同时进行。
HTTP Flood(也叫CC攻击):
是目前应用层攻击的主要手段之一。攻击者并不需要控制大批的傀儡机,取而代之的是通过端口扫描程序在互联网上寻找匿名的HTTP代理或者SOCKS代理,攻击者通过匿名代理对攻击目标发起HTTP请求。匿名代理是一种比较丰富的资源,花几天时间获取代理并不是难事,因此攻击容易发起而且可以长期高强度的持续。
另一方面,HTTP Flood攻击在HTTP层发起,极力模仿正常用户的网页请求行为,与网站业务紧密相关,安全厂商很难提供一套通用的且不影响用户体验的方案。在一个地方工作得很好的规则,换一个场景可能带来大量的误杀。
下面高端一些的:
Slowloris攻击(属于慢速连接攻击):
正常的HTTP包头是以两个CLRF(\r\n)表示HTTP Headers部分结束的,如果Web Server只收到了一个\r\n或没有收到\r\n,将认为HTTPHeaders部分没有结束,并保持这些连接不释放,继续等待完整的请求。
攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,导致服务端认为HTTP头部没有接收完成而一直等待。
DRDoS(分布式反射拒绝服务攻击):
原理:攻击方将发送的SYN包中的源地址伪造成受害者的地址,那么收到SYN包的服务器将把SYN|ACK应答包返回给受害者。说白了就是以受害者的名义发出的TCP SYN连接请求给互联网上的主机,然后这些被欺骗的主机将应答都发给了受害者。
反射型攻击利用的协议目前包括NTP、Chargen、SSDP、DNS、RPC portmap等等。
DRDoS+流量放大攻击
DRDoS攻击可以隐藏自身,但有个问题是攻击者制造的流量和目标收到的攻击流量是1:1,且SYN|ACK包到达目标后马上被回以RST包,整个攻击的投资回报率不高。
如果回包体积比较大或协议支持递归效果,攻击流量会被放大,成为一种高性价比的流量型攻击。
常见的SSDP协议为例,攻击者将Searchtype设置为ALL,搜索所有可用的设备和服务,这种递归效果产生的放大倍数是非常大的,攻击者只需要以较小的伪造源地址的查询流量就可以制造出几十甚至上百倍的应答流量发送至目标。
