6876 
2023-06-25 09:44:01 DDoS攻擊是一種常見(jiàn)的網(wǎng)絡(luò)安全威脅,今天快快網(wǎng)絡(luò)小編要給大家講解下DDoS的原理及危害。DDoS攻擊的危害非常大,可以造成嚴(yán)重的經(jīng)濟(jì)損失和聲譽(yù)風(fēng)險(xiǎn),因此企業(yè)和組織需要采取各種措施來(lái)防范和應(yīng)對(duì)此類攻擊。
DDoS的原理及危害
DDoS:拒絕服務(wù)攻擊的目標(biāo)大多采用包括以SYNFlood和PingFlood為主的技術(shù),其主要方式是通過(guò)使關(guān)鍵系統(tǒng)資源過(guò)載,如目標(biāo)網(wǎng)站的通信端口與記憶緩沖區(qū)溢出,導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用,甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓,而達(dá)到阻止合法信息上鏈接服務(wù)要求的接收。形象的解釋是,DDoS攻擊就好比電話點(diǎn)歌的時(shí)候,從各個(gè)角落在同一時(shí)間有大量的電話掛入點(diǎn)播臺(tái),而點(diǎn)播臺(tái)的服務(wù)能力有限,這時(shí)出現(xiàn)的現(xiàn)象就是打電話的人只能聽(tīng)到電話忙音,意味著點(diǎn)播臺(tái)無(wú)法為聽(tīng)眾提供服務(wù)。這種類型的襲擊日趨增多,因?yàn)閷?shí)施這種攻擊的方法與程序源代碼現(xiàn)已在黑客網(wǎng)站上公開(kāi)。另外,這種襲擊方法非常難以追查,因?yàn)樗麄冞\(yùn)用了諸如IP地址欺騙法之類所謂網(wǎng)上的“隱身技術(shù)”,而且現(xiàn)在互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)的過(guò)剩,也使作惡者很容易得到IP地址。
拒絕服務(wù)攻擊的一個(gè)最具代表性的攻擊方式是分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS),它是一種令眾多的互聯(lián)網(wǎng)服務(wù)提供商和各國(guó)政府非常頭疼的黑客攻擊方法,最早出現(xiàn)于1999年夏天,當(dāng)時(shí)還只是在黑客站點(diǎn)上進(jìn)行的一種理論上的探討。從2000年2月開(kāi)始,這種攻擊方法開(kāi)始大行其道,在2月7日到11日的短短幾天內(nèi),黑客連續(xù)攻擊了包括Yahoo,Buy.com,eBay,Amazon,CNN等許多知名網(wǎng)站,致使有的站點(diǎn)停止服務(wù)達(dá)幾個(gè)小時(shí)甚至幾十個(gè)小時(shí)之久。國(guó)內(nèi)的新浪等站點(diǎn)也遭到同樣的攻擊,這次的攻擊浪潮在媒體上造成了巨大的影響,以至于美國(guó)總統(tǒng)都不得不親自過(guò)問(wèn)。
分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu),從許多分布的主機(jī)同時(shí)攻擊一個(gè)目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。目前所使用的入侵監(jiān)測(cè)和過(guò)濾方法對(duì)這種類型的入侵都不起作用。所以,對(duì)這種攻擊還不能做到完全防止。
DDoS通常采用一種跳臺(tái)式三層結(jié)構(gòu)。如圖10—7所示:圖10—7最下層是攻擊的執(zhí)行者。這一層由許多網(wǎng)絡(luò)主機(jī)構(gòu)成,其中包括Unix,Linux,Mac等各種各樣的操作系統(tǒng)。攻擊者通過(guò)各種辦法獲得主機(jī)的登錄權(quán)限,并在上面安裝攻擊器程序。這些攻擊器程序中一般內(nèi)置了上面一層的某一個(gè)或某幾個(gè)攻擊服務(wù)器的地址,其攻擊行為受到攻擊服務(wù)器的直接控制。
一個(gè)企業(yè)的網(wǎng)上服務(wù)即使沒(méi)有遭到拒絕服務(wù)的攻擊,它還會(huì)面臨另外一種風(fēng)險(xiǎn),即成為攻擊者的跳臺(tái)的危險(xiǎn)。在實(shí)際發(fā)生的大規(guī)模拒絕服務(wù)攻擊的案例當(dāng)中,往往是那些網(wǎng)絡(luò)安全管理不嚴(yán)格的企業(yè)或組織的系統(tǒng),被黑客侵入,在系統(tǒng)內(nèi)被植入攻擊時(shí)使用的黑客程序。而攻擊犯罪發(fā)生以后,由于黑客的消蹤滅跡的手段很高明,所以最后被偵破機(jī)關(guān)追索到的攻擊源往往是那些成為攻擊跳臺(tái)的網(wǎng)絡(luò)。雖然,企業(yè)本身沒(méi)有遭到損失,但是由于成為攻擊跳臺(tái),而帶來(lái)的合作伙伴的疑慮和商業(yè)信用的損失卻是無(wú)法估計(jì)的。
什么是DDoS流量攻擊
DDoS流量攻擊全稱:Distributed denial of service attack,中文翻譯為分布式拒絕服務(wù)攻擊,根據(jù)首字母簡(jiǎn)稱為DDoS,因?yàn)镈DoS流量攻擊來(lái)勢(shì)兇猛,持續(xù)不斷,連綿不絕,因此在中國(guó)又叫洪水攻擊。DDoS流量攻擊是目前網(wǎng)絡(luò)上最常見(jiàn)的手段,主要是公共分布式合理服務(wù)請(qǐng)求來(lái)昂被攻擊者的服務(wù)器資源消耗殆盡,導(dǎo)致服務(wù)器服務(wù)提供正常的服務(wù),這種方式說(shuō)白了就是增大服務(wù)器的訪問(wèn)量,使其過(guò)載而導(dǎo)致服務(wù)器崩潰或者癱瘓。好比雙十一期間大量的用戶使用淘寶,使用的人數(shù)過(guò)多導(dǎo)致淘寶無(wú)法快速運(yùn)轉(zhuǎn),并且出現(xiàn)頁(yè)面癱瘓的情況。
DDoS流量攻擊,可以分為,帶寬消耗型和資源消耗型兩種大的層次,從網(wǎng)絡(luò)占用到目標(biāo)硬件性能占用,以達(dá)到目標(biāo)服務(wù)器網(wǎng)絡(luò)癱瘓、系統(tǒng)崩潰的最終目的。下面為大家列舉一些比較常用的DDoS流量攻擊的方式。
死亡之PING即是ping of death,或者叫做死亡之平,也被翻譯為死亡天平,這種攻擊方式主要以通過(guò)TCP/IP協(xié)議進(jìn)行DDoS流量攻擊,這種類型的攻擊方式主要是通過(guò)向服務(wù)器發(fā)送數(shù)據(jù)包片段大小超過(guò)TCP/IP協(xié)議的規(guī)定大小的數(shù)據(jù)包,讓服務(wù)器系統(tǒng)無(wú)法正常進(jìn)行處理從而導(dǎo)致崩潰,而這些數(shù)據(jù)包最大字節(jié)為6,5535字節(jié)。
CC(Challenge Collapsar),意為挑戰(zhàn)黑洞,利用大量的肉雞(免費(fèi)代理服務(wù)器)向目標(biāo)服務(wù)器發(fā)送大量看似合法的的請(qǐng)求,從而不斷利用被攻擊服務(wù)器的資源進(jìn)行重來(lái)這邊請(qǐng)求,讓其資源不斷被消耗,當(dāng)服務(wù)器的資源被消耗殆盡用戶就無(wú)法正常訪問(wèn)服務(wù)器獲取服務(wù)器的響應(yīng),在cc攻擊過(guò)程中,能夠感覺(jué)到服務(wù)器的穩(wěn)定性在不斷的變差直至服務(wù)器癱瘓。應(yīng)。
UDP:用戶數(shù)據(jù)包協(xié)議(User Datagram Protocol floods),一種無(wú)連接協(xié)議,主要是通過(guò)信息交換過(guò)程中的握手原則來(lái)實(shí)現(xiàn)攻擊,當(dāng)通通過(guò)UDP發(fā)送數(shù)據(jù)時(shí),三次的數(shù)據(jù)握手驗(yàn)證無(wú)法正常進(jìn)行,導(dǎo)致大量數(shù)據(jù)包發(fā)送給目標(biāo)系統(tǒng)時(shí)無(wú)法進(jìn)行正常的握手驗(yàn)證,從而導(dǎo)致帶寬被占滿而無(wú)法讓正常用戶進(jìn)行訪問(wèn),導(dǎo)致服務(wù)器癱瘓或者崩潰。
以上就是關(guān)于DDoS的原理及危害,在DDoS攻擊中,攻擊者使用分布式的攻擊機(jī)器向目標(biāo)設(shè)備發(fā)起攻擊,這樣攻擊的威力就更大了。所以企業(yè)要及時(shí)做好相應(yīng)的防御措施,在面對(duì)ddos攻擊的時(shí)候才不會(huì)束手無(wú)策。
