DDoS(distributed denial of service)攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的决摧,當(dāng)攻擊目標(biāo)CPU速度低惩阶、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的货岭。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展锄俄,計算機的處理能力迅速增長浇坐,內(nèi)存大大增加窿凤,同時也出現(xiàn)了千兆仅偎、萬兆、百級級別的網(wǎng)絡(luò)雳殊,這使得DoS攻擊的困難程度加大了-目標(biāo)對惡意攻擊包的"消化能力"加強了不少橘沥,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包,但我的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包夯秃,這樣一來攻擊就不會產(chǎn)生什么效果座咆。
這時侯分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運而生了。理解了DoS攻擊的話仓洼,它的原理就很簡單介陶。如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話色建,攻擊者使用10臺攻擊機同時攻擊呢哺呜?用100臺呢?DDoS就是利用更多的傀儡機來發(fā)起進攻箕戳,以比從前更大的規(guī)模來進攻受害者某残。
分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個計算機聯(lián)合起來作為攻擊平臺陵吸,對一個或多個目標(biāo)發(fā)動DDoS攻擊玻墅,從而成倍地提高拒絕服務(wù)攻擊的威力。通常壮虫,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上澳厢,在一個設(shè)定的時間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上。代理程序收到指令時就發(fā)動攻擊赏酥。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行谆构。
高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖懵惴觯矠镈DoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時搬素,黑客占領(lǐng)攻擊用的傀儡機時呵晨,總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機器,因為經(jīng)過路由器的跳數(shù)少熬尺,效果好摸屠。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接粱哼,這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起季二,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了揭措。
被DDoS攻擊時的現(xiàn)象:
· 被攻擊主機上有大量等待的TCP連接胯舷。
· 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包,源地址為假绊含。
· 制造高流量無用數(shù)據(jù)桑嘶,造成網(wǎng)絡(luò)擁塞,使受害主機無法正常和外界通訊躬充。
· 利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷逃顶,反復(fù)高速的發(fā)出特定的服務(wù)請求,使受害主機無法及時處理所有正常請求充甚。
· 嚴(yán)重時會造成系統(tǒng)死機
二以政、 DDoS的類型及原理
DDOS攻擊主要分為三類:流量型攻擊;連接型攻擊津坑;特殊協(xié)議缺陷妙蔗。
1、 Ip lood
攻擊原理:此攻擊以多個隨機的源主機地址向目的主機發(fā)送超大量的隨機或特定的IP包疆瑰,造成目標(biāo)主機不能處理其他正常的IP報文眉反。
原理圖:
2、 Syn Flood
攻擊原理:依據(jù)tcp建立連接的三次握手穆役。此攻擊以多個隨機的源主機地址向目的主機發(fā)送syn包寸五,而在收到目的主機的syn+ack包后并不回應(yīng),目的主機就為這些源主機建立大量的連接隊列耿币,由于沒有收到ack一直維護這些連接隊列梳杏,造成資源的大量消耗而不能向正常的請求提供服務(wù)。與之類似的攻擊方式還有ackflood、s-ackflood十性、finflood叛溢、rstflood、tcpflood 劲适。
原理圖:
3楷掉、 Udp 反射 Flood
攻擊原理:有時被保護服務(wù)器也有同外部服務(wù)器進行udp交互的需求,攻擊者就會利用此交互對被保護服務(wù)器進行udp反射放大攻擊霞势。此攻擊在短時間那冒充被攻擊地址向外部公用的服務(wù)器發(fā)送大量的udp請求包烹植,外部服務(wù)器收到虛假的udp請求就會回復(fù)大量的回應(yīng)包給被攻擊服務(wù)器地址,造成目標(biāo)主機被保護服務(wù)器不能處理其他正常的交互流愕贡。
原理圖:
4草雕、 Dns Query Flood
攻擊原理:通過發(fā)起大量的DNS請求,導(dǎo)致DNS服務(wù)器無法響應(yīng)正常用戶的請求固以,正常用戶不能解析DNS墩虹,從而不能獲取服務(wù)。
原理圖:
[圖片上傳中...(image.png-635f2b-1561695331053-0)]
5憨琳、 Dns Reply Flood
攻擊原理:攻擊者通過發(fā)起大量偽造的DNS回應(yīng)包败晴,導(dǎo)致DNS服務(wù)器帶寬擁塞無法響應(yīng)正常用戶的請求,正常用戶不能解析DNS栽渴,從而不能獲取服務(wù)尖坤。
原理圖:
6、 Http Flood
攻擊原理:此攻擊類型主要攻擊目標(biāo)為Web服務(wù)器上的網(wǎng)頁訪問服務(wù)闲擦,當(dāng)發(fā)生攻擊時攻擊者向被攻擊服務(wù)器大量高頻的發(fā)送一個網(wǎng)頁或多個網(wǎng)頁的請求服務(wù)慢味,使服務(wù)器忙于向攻擊者提供響應(yīng)資源從而導(dǎo)致不能想正常的合法用戶提供請求響應(yīng)服務(wù)。
7墅冷、 Https Flood
攻擊原理:此攻擊類型主要攻擊目標(biāo)是使用https協(xié)議的Web服務(wù)器上的訪問服務(wù)纯路,當(dāng)發(fā)生攻擊時攻擊者向被攻擊服務(wù)器大量高頻的發(fā)送請求服務(wù),使服務(wù)器忙于向攻擊者提供https響應(yīng)資源從而導(dǎo)致不能想正常的合法用戶提供請求響應(yīng)服務(wù)寞忿。
原理圖:
8驰唬、 Sip Invite Flood
攻擊原理:Sip協(xié)議為網(wǎng)絡(luò)視頻電話會議的udp協(xié)議,攻擊者通過發(fā)起大量的Sip invite請求腔彰,導(dǎo)致網(wǎng)絡(luò)視頻電話會議Sip服務(wù)器無法響應(yīng)正常用戶的請求報文叫编,占用服務(wù)器帶寬使其阻塞,達到SIP報文洪水攻擊的目的霹抛。
原理圖:
9搓逾、 Sip Register Flood
攻擊原理:Sip協(xié)議為網(wǎng)絡(luò)視頻電話會議的udp協(xié)議,攻擊者通過發(fā)起大量的Sip register注冊信息杯拐,導(dǎo)致網(wǎng)絡(luò)視頻電話會議Sip服務(wù)器無法響應(yīng)正常用戶的注冊報文信息霞篡,占用服務(wù)器帶寬使其阻塞世蔗,達到SIP注冊報文洪水攻擊的目的。
原理圖:
10朗兵、 Ntp Request Flood
攻擊原理:Ntp協(xié)議即為網(wǎng)絡(luò)時間同步的udp協(xié)議污淋,用于在分布式NTP服務(wù)器和客戶端之間進行時間同步。NTP攻擊余掖,基于UDP協(xié)議芙沥,攻擊者向NTP服務(wù)器發(fā)送大量的請求報文,占用服務(wù)器帶寬使其阻塞浊吏,達到NTP攻擊的目的。
原理圖:
11救氯、 Ntp Reply Flood
攻擊原理:攻擊者向NTP服務(wù)器發(fā)送大量的響應(yīng)報文找田,占用服務(wù)器帶寬使其阻塞,達到NTP攻擊的目的着憨。
原理圖:
12墩衙、 Connection Flood
攻擊原理:利用真實 IP 地址(代理服務(wù)器、廣告頁面)在服務(wù)器上建立大量連接服務(wù)器上殘余連接(WAIT狀態(tài))過多甲抖,效率降低漆改,甚至資源耗盡,無法響應(yīng)准谚; 蠕蟲傳播過程中會出現(xiàn)大量源IP地址相同的包挫剑,對于 TCP 蠕蟲則表現(xiàn)為大范圍掃描行為; 消耗骨干設(shè)備的資源柱衔,如防火墻的連接數(shù)樊破。
原理圖:
13、 CC攻擊
攻擊原理:利用代理服務(wù)器向受害者發(fā)起大量HTTP Get請求唆铐;主要請求動態(tài)頁面哲戚,涉及到數(shù)據(jù)庫訪問操作;數(shù)據(jù)庫負(fù)載以及數(shù)據(jù)庫連接池負(fù)載極高艾岂,無法響應(yīng)正常請求
原理圖:
14顺少、 http slow header慢速攻擊
攻擊原理:在http協(xié)議中規(guī)定,http的頭部以連續(xù)的“\r\n\r\n”作為結(jié)束標(biāo)志王浴。許多web服務(wù)器在處理http請求的頭部信息時脆炎,會等待頭部傳輸結(jié)束后再進行處理。因此氓辣,如果web服務(wù)器沒有接收到連續(xù)的“\r\n\r\n”腕窥,就會一直接收數(shù)據(jù)并保持與客戶端的連接。Slow-header的工作原理是攻擊者在發(fā)送http get請求時筛婉,緩慢的發(fā)送無用的header字段簇爆,并且一直不發(fā)送“\r\n\r\n”結(jié)束標(biāo)志癞松。Web服務(wù)器能夠處理的并發(fā)連接數(shù)是有限的,如果攻擊者利用大量的主機發(fā)送這種不完整的http get請求把那個持續(xù)占用這些連接入蛆,就會耗盡web服務(wù)器的資源响蓉。
原理圖:
15、 http slow post慢速攻擊
攻擊原理:在post提交方式中哨毁,允許在http的頭中聲明content-length枫甲,也就是指定http消息實體的傳輸長度。當(dāng)web服務(wù)器接收到請求頭部中含有content-length字段時扼褪,服務(wù)器會將該字段的值作為http body的長度想幻,持續(xù)接收數(shù)據(jù)并達到content-length值時對實體的數(shù)據(jù)內(nèi)容進行處理。slow post會傳送包括整個header的http請求话浇,在提交了頭以后脏毯,將后面的body部分卡住不發(fā)送,這時候服務(wù)器在接受了post長度以后幔崖,在處理數(shù)據(jù)之前會等待客戶端發(fā)送post的內(nèi)容食店,攻擊者保持連接并且以10s-100s一個字節(jié)的速度去發(fā)送,就達到了消耗資源的效果赏寇,因此不斷增加這樣的連接會使得服務(wù)器的資源被消耗
原理圖:
16吉嫩、 Https-ssl-dos攻擊
攻擊原理:在進行SSL數(shù)據(jù)傳輸之前,通信雙方首先要進行ssl握手嗅定,以協(xié)商加密算法交換加密密鑰自娩,進行身份認(rèn)證。通常情況下渠退,這樣的ssl握手過程只需要進行一次即可椒功,但是在ssl協(xié)議中有一個renegotiation選項,通過它可以進行密鑰的重新協(xié)商以建立新的密鑰智什。在ssl握手的過程中动漾,服務(wù)器會消耗較多的CPU資源來進行加解密,并進行數(shù)據(jù)的有效性驗證荠锭。SSL-dos攻擊方式的本質(zhì)是消耗服務(wù)器的CPU資源旱眯,在協(xié)商加密算法的時候,服務(wù)器CPU的開銷是客戶端的15倍左右证九。攻擊者在一個TCP連接中不停地快速重新協(xié)商删豺,如果建立多個連接,給服務(wù)器端造成的壓力會更加明顯愧怜,從而達到攻擊目的呀页。
原理圖完整的SSL連接過程:
原理圖:
17、 Dns NX攻擊
攻擊原理:Dns NX攻擊是dns query flood攻擊的一個變種攻擊方式拥坛,區(qū)別是后者向dns服務(wù)器查詢的是一個真實存在的域名蓬蝶,而前者向dns服務(wù)器查詢的是一個不存在的域名尘分。在進行dns nx攻擊時,dns服務(wù)器會進行多次域名查詢丸氛,其獲取不到域名的解析結(jié)果時培愁,還會再次進行遞歸查詢,向上一級的dns服務(wù)器發(fā)送解析請求并等待應(yīng)答缓窜,這進一步增加了dns服務(wù)器的資源消耗定续。同時,dns服務(wù)器的緩存會被大量nx domian記錄所填滿禾锤,導(dǎo)致響應(yīng)正常用戶的dns解析請求變慢私股。
原理圖:
18、 Dns 投毒
攻擊原理:一臺dns服務(wù)器只記錄本地資源的所有授權(quán)主機恩掷,若要查詢的是非本地的主機信息倡鲸,則向信息持有者(授權(quán)dns服務(wù)器)發(fā)送查詢請求。為了避免每次查詢都發(fā)送請求螃成,dns服務(wù)器會把授權(quán)服務(wù)器返回的查詢結(jié)果保存在緩存中,并保持一段時間查坪,這就構(gòu)成了dns緩存寸宏。dns緩存投毒攻擊就是通過污染dns cache,用虛假的IP地址信息替換cache中主機記錄的真實IP地址信息來制造破壞偿曙。這種類型的攻擊的目的是將依賴于此dns服務(wù)器的受害者重定向到其它的地址氮凝,例如重定向搜索引擎到廣告網(wǎng)站。這種類型的典型攻擊就是釣魚方式的攻擊望忆,例如將一個銀行的訪問重定向到黑客偽造的網(wǎng)站罩阵。
原理圖:
