什么是DDoS攻击攻击,甚至于攻击的威力有多大?

什么是 DDoS 攻击

DDoS攻击是指利用C/S技术组合多台计算机作为攻击平台,对一个或多个目标发起DoS攻击,从而成倍增加拒绝服务攻击的威力。

通常,攻击者会在自己的电脑上安装DDoS主程序,或者使用通过非法手段获得的账号在其他被感染计算机上安装DDoS主程序,并在多台被感染计算机的网络上安装DDoS代理程序。当攻击者打算对受害业务系统发起DDoS攻击时,会通过DDoS主控程序与大量DDoS代理程序进行通信。DDoS代理程序在收到DDoS主控程序的指令后会立即发起DDoS攻击,从而导致受害业务系统网络几乎瘫痪,甚至停机。使用客户端/服务器技术,DDoS 主程序可以在几秒钟内启动数千个 DDoS 代理进行 DDoS 攻击。

DDoS 攻击的危险

首先,让我们从现实环境的示例中了解什么是 DDoS 攻击。

某店铺试图使具有竞争关系的对面店铺无法正常营业。他们将采取什么措施?一般有以下几个步骤:

他们会先雇一群马,让这些马伪装成普通顾客;

然后命令这群马不停地挤在对方的店里,靠它,但真正的购物者进不去;

让马总和营业员聊天,让店员无法正常为顾客服务;

它还可以为商店的经营者提供虚假信息。店铺的工作人员忙上忙下后,发现自己都空了,最后从真正的大客户身边跑掉,损失惨重。

此外,马有时很难靠自己完成这些坏事,需要召集很多人一起。

网络空间安全领域的 DoS 和 DDoS 攻击也遵循这些思路。

在网络空间安全的三个要素——“机密性”、“完整性”和“可用性”中,DoS攻击即拒绝服务攻击的目标是“可用性”。该攻击方法利用目标系统的网络服务功能缺陷或直接消耗其系统资源,使目标系统无法正常提供服务。

常见的 DDoS 攻击类型

DDoS 攻击有多种类型。最基本的DoS攻击就是利用合理的服务请求占用过多的服务资源,使合法用户无法得到服务响应。单次DoS攻击一般采用一对一的方式。当攻击目标具有低CPU速度、小内存或小网络带宽等低性能指标时,其效果是显而易见的。随着计算机和网络技术的发展,计算机的处理能力迅速提高,内存大大增加,超大规模的网络也出现了,这使得DoS攻击的难度明显增加——目标系统攻击恶意的能力攻击数据包。“消化能力”增强了很多。这时,DDoS攻击应运而生。

DDoS攻击通过大量合法请求占用大量网络资源,以达到瘫痪网络的目的。这种攻击方式主要可以分为以下几种:

1. IP 欺骗

2. LAND 攻击

3. 蓝精灵攻击

4. 泪珠攻击

5. SYN 泛洪攻击

6. SYN+ACK 泛洪攻击

7. ACK 泛洪攻击

8. TCP 全连接攻击

9. UDP 泛洪

10. CC 攻击

11. 上述攻击的混合攻击

01.IP 欺骗

IP 欺骗攻击是指使用伪造的源 IP 地址创建 IP 数据包,以便在发起攻击时隐藏攻击者的身份或冒充另一个计算系统。当攻击者冒充网络上的其他设备或用户对网络主机发起攻击、窃取数据、传播恶意软件或绕过访问控制时,就会发生欺骗攻击。

防止IP欺骗攻击的主要方法如下:

1.对于内网环境,可以进行IP-MAC绑定。通过将接收到的IP数据包中的源IP与已有的IP-MAC表进行比较,如果已有的IP-MAC表中的源IP对应的MAC地址与IP数据包中的发送方MAC地址不匹配,它发送的数据包将被丢弃。

2.对于公网环境,可以直接丢弃从公网方向接收到的IP数据包。源IP在内网IP段范围内(10.0.0.0/8, 172.16.0. 0/12、192.168.0.0/16) IP 数据包。

3.在公网环境下,也可以使用URPF提取从公网方向接收到的IP数据包中的源IP地址,然后查看自己的路由中是否有数据包的路由信息桌子 。如果数据返回的路由表中没有路由信息,那么很有可能有人伪造了数据包并将其丢弃。

02.LAND 攻击

LAND 攻击是指攻击者向目标系统发送一个 SYN TCP 数据包,并将数据包中的源地址伪造为目标系统的地址。当目标系统收到数据包时,它会向自己发送一个 SYN+ACK TCP 数据包。然后,目标系统向自己发送一个ACK包,从而与自己建立一个空连接。这个空连接将一直持续到超时。当目标系统被这么大数量的欺骗时,会建立大量空连接,消耗大量系统资源,导致目标系统底层操作系统运行缓慢甚至崩溃。该漏洞存在于许多早期的操作系统中,例如 Windows XP 和 Windows 2003。

防御登陆攻击的主要方法是过滤和丢弃源地址和目的地址相同的SYN和SYN+ACK的TCP报文。

03.蓝精灵攻击

Smurf 攻击向目标系统发送 ICMP 回复请求 (ping) 数据包,回复地址设置为目标系统网络的广播地址,最终导致目标系统网络上的所有主机都回复此 ICMP 回复请求,导致网络堵塞。

防止 Smurf 攻击的主要方法如下:

1.对于网络设备,它可以过滤和丢弃IP数据包中源IP地址为广播地址的IP数据包。

2.对于终端设备,可以禁止响应IP数据包中目的地址为广播地址的ICMP包。

3.对于网络边缘设备,可以将本地网络发往外部网络的IP数据包中源地址为其他网络的部分IP数据包过滤丢弃。

04.泪珠攻击

Teardrop 攻击向目标系统发送一些分片的 IP 数据包,并故意将“13 位分片偏移”字段设置为错误的值,这可能与之前的分片数据重叠或与之前的分片数据重叠。分片数据是交错的,当将这种伪造的分片数据包与重叠偏移组合时,目标系统将崩溃目标系统的底层操作系统。

防止Teardrop攻击的主要方法是先将接收到的分片报文放入缓存中,根据源IP地址和目的IP地址对报文进行分组。进入同一组,然后查看每组IP报文的相关分片信息,将分片信息不正确的报文丢弃。为防止缓冲区溢出,当缓冲区快满时,直接丢弃后续的分片包。

05.SYN 洪水攻击

SYN Flood攻击是指攻击者在短时间内利用大量肉鸡或伪造大量不存在的IP地址不断向目标系统发送SYN数据包,迫使目标系统回复大量SYN+ACK 确认包,等待发送。来源确认。由于源地址没有响应确认包或者源地址根本不存在,所以目标系统需要不断地重发SYN+ACK确认包,直到SYN包超时。这些没有被确认的 SYN 数据包会长期占据 SYN 队列。,正常的SYN请求被丢弃或拒绝land攻击源端口目的端口,导致目标系统运行缓慢,严重时,

缓解SYN Flood攻击的主要方法如下:

1.缩短SYN Timeout时间,减少SYN队列中无效SYN包的积压。

2.增加最大半连接数,即增加SYN队列的大小,使系统可以容纳更多的SYN包。

3.开启SYN Cookies就是给每个请求连接的IP地址分配一个cookie。当再次收到同一个五元组的SYN包时,不会重新分配ACK号,而是重用之前的ACK号,从而减少SYN队列长度。

4.第一个数据包被丢弃。一般正常访问者会在第一个包超时后再次发送SYN包,而攻击者一般不会重新发送SYN包,从而减少SYN队列中的无效SYN。数据包积压量。

5.验证源地址。如果源地址是伪造的,则直接丢弃SYN数据包,从而减少SYN队列中无效SYN数据包的积压。

06.SYN+ACK 洪水攻击

SYN_ACK Flood 攻击是指攻击者向目标系统发送大量的 SYN+ACK 数据包。目标系统会消耗大量资源来处理这些数据包,导致目标系统运行缓慢。严重时会造成网络拥塞甚至目标系统。底层操作系统瘫痪。

缓解SYN+ACK Flood攻击的主要方法如下:

1.如果不需要主动发起连接,可以丢弃所有SYN+ACK包。

2.验证源地址。如果源地址是伪造的,则直接丢弃SYN+ACK包。

07.ACK 洪水攻击

ACK洪水攻击发生在TCP连接建立之后。由于所有数据传输的 TCP 包都带有 ACK 标志,所以当目标系统收到带有 ACK 标志的数据包时,需要对数据包进行校验。表示的连接四元组是否存在,如果存在,检查数据包表示的状态是否合法,然后将数据包传递给应用层。如果在检测过程中发现数据包不合法,例如数据包指向的目的端口在本地没有开放,主机操作系统协议栈会响应RST包,告诉对方该端口不存在。在这里,服务器必须做两个动作:查表和响应 ACK/RST。因为攻击者发送了大量带有ACK标志位的数据包,

缓解 ACK Flood 攻击的主要方法如下:

1.统计各类数据包从源地址的分布情况。如果目标系统从源地址接收到的数据包数量异常大于目标系统向源地址发送的数据包数量,可以直接丢弃源地址的ACK数据包。

2.验证源地址。如果源地址是伪造的,则直接丢弃ACK包。

08.TCP全连接攻击

TCP全连接攻击是通过消耗目标系统的进程数和连接数,只连接而不发送数据的攻击方式。当攻击者连接到目标系统时,只是连接,目标系统会为每个连接创建一个进程来处理攻击者发送的数据。但是,攻击者只是连接而不发送数据。此时目标系统会一直处于Recv或Read的状态。结果是多个连接,目标系统的每个连接都处于等待状态,导致目标系统崩溃。.

一般来说,防御TCP全连接攻击的主要方法是限制单个源IP可以与目标系统建立的最大连接数,从而保证目标系统不崩溃。

09.UDP泛洪攻击

UDP Flood攻击又称UDP Flood攻击,是一种基于流量的DoS攻击。它经常使用大量的UDP数据包冲击目标系统,从而耗尽目标系统的带宽。由于UDP协议是无连接服务,在发起UDP泛洪攻击时,攻击者会发送大量伪造源IP地址的UDP小包,也会导致目标系统瘫痪。

防止UDP泛洪攻击的主要方法是在网络边界限制单个源IP可以向目标系统发送的最大包速率和最大带宽,从而保证目标系统带宽不被耗尽,不死机。

攻击

CC攻击,原名Fatboy攻击,是利用不断向目标系统发送连接请求来造成拒绝服务。CC攻击可分为代理CC攻击和肉鸡CC攻击。代理CC攻击是攻击者通过代理服务器生成指向目标系统的合法网页请求,导致目标系统CPU接近100%甚至宕机的现象。肉鸡CC攻击是黑客利用CC攻击软件控制大量肉鸡并发动攻击。后者比前者更难防守。因为肉鸡可以模拟普通用户访问网站的请求。伪造为合法数据包。

缓解CC攻击的主要方法如下:

1.限制目标系统对单个源地址可以处理的请求总数,避免单个源地址占用目标系统资源过多的情况。

2.限制目标系统单位时间内单个源地址可以处理的请求数,避免单个源地址占用目标系统资源过多的情况。

3.网站页面是静态的。使用静态网页可以在很大程度上减少系统资源的消耗,从而提高系统对请求的处理能力。

TDR智能安防运营平台

TDR智能安全运营平台包括GSDN全球安全交付网络、SOP安全运营平台和SRC安全响应中心。在为NGFW、IPS、DDoS、WAF提供深度安全防护能力的基础上,支持集中安全审计和全局态势感知land攻击源端口目的端口,集成TI威胁情报、NTA流量分析、UEBA用户行为分析等技术,用数据驱动安全智能。可实现对各种网络威胁的精准检测、溯源分析和快速响应,可快速提升各类业务系统在紧急安全事件或再保险期间的安全检测和防护能力;通过统一的安全平台和响应中心,

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论