前言:
此刻大家对“dos防范”大体比较关怀,小伙伴们都想要剖析一些“dos防范”的相关资讯。那么小编同时在网络上网罗了一些有关“dos防范””的相关内容,希望兄弟们能喜欢,各位老铁们快快来了解一下吧!什么是拒绝服务攻击?
拒绝服务攻击(Denial-of-Service Attack)亦称洪水攻击,是一种网络攻击手法,英文缩写为DOS(记住不是Windows操作系统的dos哦!!!)。使用网络上两个或两个以上被攻陷的电脑作为 “僵尸” 向特定的目标发动 “拒绝服务” 式攻击,通常称为分布式拒绝服务攻击(Distributed Denial-of-Service Attack)。
拒绝服务攻击目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
试图FLOOD服务器,阻止合法的网络通讯破坏两个机器间的连接,阻止访问服务阻止特殊用户访问服务破坏服务器的服务或者导致服务器死机拒绝服务攻击本质及现象拒绝服务攻击本质
要对服务器实施拒绝服务攻击,本质上的方式只有两个:
迫使服务器的缓冲区满,不接收新的请求。使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接,这就是DOS攻击实施的基本思想。拒绝服务攻击现象被攻击主机上有大量等待的TCP连接 。网络中充斥着大量的无用的数据包,源地址为假 。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 。利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 。严重时会造成系统死机。拒绝服务攻击原理
如图所示,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道:"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门。2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
常见拒绝服务攻击
常见的拒绝服务攻击主要如下(后续篇章会逐一讲解):
ping of death (死亡之ping)Teardrop(泪滴)UDP flood(UDP洪水)SYN flood(SYN 洪水)IP欺骗攻击ACK FLOOD攻击CC攻击反射DDOSWebsocket临时透镜慢速DDOSReDoSFraggle攻击等
上述任何一种攻击都可以被运用于DDOS攻击,即分布式拒绝服务攻击,从多个平台发起。
拒绝服务攻击防御
拒绝服务攻击防御较为困难,不容易定位攻击者的位置,主要有以下原因:
Internet上绝大多数网络都不限制源地址,也就是伪造源地址非常容易很难溯源找到攻击控制端的位置各种反射式攻击,无法定位源攻击者
因此,完全阻止是不可能的,但是适当的防范工作可以减少被攻击的机会,具体如下:
有效完善的设计带宽限制及时给系统安装补丁运行尽可能少的服务只允许必要的通信封锁敌意IP地址安装入侵检测系统安装专业抗DDOS设备感谢您的阅读,喜欢的话就转发并关注小编吧。
上一篇:「网络安全」常见攻击篇(1)——暴力破解
下篇预告:「网络安全」常见攻击篇(3)——跨站脚本攻击
标签: #dos防范