DDoS是什么灵奖?
DDoS英文全稱(chēng)Distributed Denial of Service捎迫,中文含義為“分布式拒絕服務(wù)”,是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,主要瞄準(zhǔn)例如商業(yè)公司嵌言、搜索引擎和政府部門(mén)等比較大的網(wǎng)站站點(diǎn)或者服務(wù)器。DDoS攻擊通過(guò)多臺(tái)受控機(jī)器向某一指定機(jī)器進(jìn)行攻擊愧怜,來(lái)勢(shì)迅猛令人難以防備呀页,同時(shí)具有較大的破壞性。
DDoS攻擊通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源拥坛,以達(dá)到服務(wù)器癱瘓網(wǎng)絡(luò)的目的蓬蝶,通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊尘分;還可以向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷丸氛;或阻斷某一用戶(hù)訪問(wèn)服務(wù)器培愁;甚至阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊,達(dá)到破壞的作用缓窜。
通俗的說(shuō)定续,DDoS攻擊就指向一臺(tái)性能與網(wǎng)絡(luò)寬帶有限的服務(wù)器短期發(fā)動(dòng)大量的訪問(wèn)請(qǐng)求,直到服務(wù)器或者寬帶承受極限禾锤,從而導(dǎo)致后期服務(wù)器無(wú)法正常運(yùn)行的目的私股。
DDoS攻擊的形式攻擊種類(lèi)
DDoS攻擊通常分成兩種形式:帶寬消耗型以及資源消耗型。帶寬消耗型的明顯特征就是大量的不明數(shù)據(jù)報(bào)文流向受害主機(jī)恩掷,受害主機(jī)的網(wǎng)絡(luò)接入帶寬被耗盡倡鲸。資源消耗型的特征為受害主機(jī)的系統(tǒng)資源(存儲(chǔ)資源和計(jì)算資源)被大量占用,甚至發(fā)生死機(jī)黄娘。它們都是透過(guò)大量合法或偽造的請(qǐng)求占用大量網(wǎng)絡(luò)以及器材資源峭状,兩者可能單獨(dú)發(fā)生,也可能同時(shí)發(fā)生逼争。以達(dá)到癱瘓網(wǎng)絡(luò)以及系統(tǒng)的目的优床,往往在一瞬間DDoS帶來(lái)的性能、帶寬壓力等于正常業(yè)務(wù)量的數(shù)萬(wàn)倍甚至數(shù)十萬(wàn)倍誓焦,面對(duì)這種情況胆敞,一般企業(yè)根本無(wú)力回天。
1 帶寬消耗攻擊
DDoS帶寬消耗攻擊主要為直接洪流攻擊罩阵。 直接洪流攻擊采取了簡(jiǎn)單自然的攻擊方式竿秆,它利用了攻擊方的資源優(yōu)勢(shì),當(dāng)大量代理發(fā)出的攻擊流匯聚于目標(biāo)時(shí)稿壁,足以耗盡其 Internet 接入帶寬幽钢。通常用于發(fā)送的攻擊報(bào)文類(lèi)型有:TCP報(bào)文(可含TCP SYN報(bào)文),UDP報(bào)文傅是,ICMP報(bào)文匪燕,三者可以單獨(dú)使用,也可同時(shí)使用喧笔。
1.1 TCP洪流攻擊
在早期的DoS攻擊中帽驯,攻擊者只發(fā)送TCP SYN報(bào)文,以消耗目標(biāo)的系統(tǒng)資源书闸。而在 DDoS 攻擊中尼变,由于攻擊者擁有更多的攻擊資源,所以攻擊者在大量發(fā)送TCP SYN報(bào)文的同時(shí),還發(fā)送ACK, FIN, RST報(bào)文以及其他 TCP 普通數(shù)據(jù)報(bào)文嫌术,這稱(chēng)為 TCP 洪流攻擊哀澈。該攻擊在消耗系統(tǒng)資源(主要由 SYN,RST 報(bào)文導(dǎo)致)的同時(shí)度气,還能擁塞受害者的網(wǎng)絡(luò)接入帶寬割按。由于TCP協(xié)議為T(mén)CP/IP協(xié)議中的基礎(chǔ)協(xié)議,是許多重要應(yīng)用層服務(wù)(如WEB 服務(wù)磷籍,F(xiàn)TP 服務(wù)等)的基礎(chǔ)适荣,所以TCP洪流攻擊能對(duì)服務(wù)器的服務(wù)性能造成致命的影響。據(jù)研究統(tǒng)計(jì)院领,大多數(shù)DDoS攻擊通過(guò)TCP洪流攻擊實(shí)現(xiàn)弛矛。
1.2UDP 洪流攻擊
用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)是一個(gè)無(wú)連接協(xié)議。當(dāng)數(shù)據(jù)包經(jīng)由UDP協(xié)議發(fā)送時(shí)比然,發(fā)送雙方無(wú)需通過(guò)三次握手建立連接汪诉, 接收方必須接收處理該數(shù)據(jù)包。因此大量的發(fā)往受害主機(jī) UDP 報(bào)文能使網(wǎng)絡(luò)飽和谈秫。在一起UDP 洪流攻擊中,UDP 報(bào)文發(fā)往受害系統(tǒng)的隨機(jī)或指定端口鱼鼓。通常拟烫,UDP洪流攻擊設(shè)定成指向目標(biāo)的隨機(jī)端口。這使得受害系統(tǒng)必須對(duì)流入數(shù)據(jù)進(jìn)行分析以確定哪個(gè)應(yīng)用服務(wù)請(qǐng)求了數(shù)據(jù)迄本。如果受害系統(tǒng)在某個(gè)被攻擊端口沒(méi)有運(yùn)行服務(wù)硕淑,它將用 ICMP 報(bào)文回應(yīng)一個(gè)“目標(biāo)端口不可達(dá)”消息。通常嘉赎,攻擊中的DDoS工具會(huì)偽造攻擊包的源IP地址置媳。這有助于隱藏代理的身份,同時(shí)能確保來(lái)自受害主機(jī)的回應(yīng)消息不會(huì)返回到代理公条。UDP洪流攻擊同時(shí)也會(huì)擁塞受害主機(jī)周?chē)木W(wǎng)絡(luò)帶寬(視網(wǎng)絡(luò)構(gòu)架和線路速度而定)拇囊。因此,有時(shí)連接到受害系統(tǒng)周邊網(wǎng)絡(luò)的主機(jī)也會(huì)遭遇網(wǎng)絡(luò)連接問(wèn)題靶橱。
1.3 ICMP洪流攻擊
Internet 控制報(bào)文協(xié)議傳遞差錯(cuò)報(bào)文及其它網(wǎng)絡(luò)管理消息寥袭,它被用于定位網(wǎng)絡(luò)設(shè)備,確定源到端的跳數(shù)或往返時(shí)間等关霸。一個(gè)典型的運(yùn)用就是 Ping 程序传黄,其使用 ICMP_ECHO REQEST 報(bào)文,用戶(hù)可以向目標(biāo)發(fā)送一個(gè)請(qǐng)求消息队寇,并收到一個(gè)帶往返時(shí)間的回應(yīng)消息膘掰。ICMP 洪流攻擊就是通過(guò)代理向受害主機(jī)發(fā)送大量ICMP_ECHO_ REQEST)報(bào)文。這些報(bào)文涌往目標(biāo)并使其回應(yīng)報(bào)文佳遣,兩者合起來(lái)的流量將使受害主機(jī)網(wǎng)絡(luò)帶寬飽和识埋。與UDP洪流攻擊一樣凡伊,ICMP洪流攻擊通常也偽造源IP地址。
2 系統(tǒng)資源消耗攻擊
DDoS系統(tǒng)資源消耗攻擊包括惡意誤用 TCP/IP 協(xié)議通信和發(fā)送畸形報(bào)文兩種攻擊方式惭聂。兩者都能起到占用系統(tǒng)資源的效果窗声。具體有以下幾種:
TCP SYN攻擊,是DDoS攻擊中最常見(jiàn)的攻擊手段之一辜纲。只不過(guò)在 DDoS 方式下笨觅,它的攻擊強(qiáng)度得到了成百上千倍的增加。
TCP PSH+ACK 攻擊耕腾。在 TCP 協(xié)議中见剩,到達(dá)目的地的報(bào)文將進(jìn)入 TCP棧的緩沖區(qū),直到緩沖區(qū)滿(mǎn)了扫俺,報(bào)文才被轉(zhuǎn)送給接收系統(tǒng)苍苞。此舉是為了使系統(tǒng)清空緩沖區(qū)的次數(shù)達(dá)到最小。然而狼纬,發(fā)送者可通過(guò)發(fā)送 PSH 標(biāo)志為 1 的TCP 報(bào)文來(lái)起強(qiáng)制要求接受系統(tǒng)將緩沖區(qū)的內(nèi)容清除羹呵。TCP PUSH+ACK 攻擊與 TCP SYN 攻擊一樣目的在于耗盡受害系統(tǒng)的資源。當(dāng)代理向受害主機(jī)發(fā)送PSH和ACK標(biāo)志設(shè)為1的TCP報(bào)文時(shí)疗琉, 這些報(bào)文將使接收系統(tǒng)清除所有 TCP 緩沖區(qū)的數(shù)據(jù)(不管緩沖區(qū)是滿(mǎn)的還是非滿(mǎn))冈欢,并回應(yīng)一個(gè)確認(rèn)消息。如果這個(gè)過(guò)程被大量代理重復(fù)盈简,系統(tǒng)將無(wú)法處理大量的流入報(bào)文凑耻。 畸形報(bào)文攻擊。顧名思義柠贤,畸形報(bào)文攻擊指的是攻擊者指使代理向受害主機(jī)發(fā)送錯(cuò)誤成型的IP報(bào)文以使其崩潰香浩。有兩種畸形報(bào)文攻擊方式。一種是IP 地址攻擊臼勉,攻擊報(bào)文擁有相同的源 IP 和目的 IP 地址邻吭。它能迷惑受害主機(jī)的操作系統(tǒng),并使其消耗大量的處理能力坚俗。另一個(gè)是IP報(bào)文可選段攻擊镜盯。攻擊報(bào)文隨機(jī)選取IP報(bào)文的可選段并將其所有的服務(wù)比特值設(shè)為1。對(duì)此猖败,受害系統(tǒng)不得不花費(fèi)額外的處理時(shí)間來(lái)分析數(shù)據(jù)包速缆。當(dāng)發(fā)動(dòng)攻擊的代理足夠多時(shí),受害系統(tǒng)將失去處理能力恩闻。
3 應(yīng)用層攻擊
典型如國(guó)內(nèi)流行的傳奇假人攻擊艺糜,這種攻擊利用傀儡機(jī),模擬了傳奇服務(wù)器的數(shù)據(jù)流,能夠完成普通傳奇戲服務(wù)器的注冊(cè)破停、登陸等功能翅楼,使得服務(wù)器運(yùn)行的傳奇游戲內(nèi)出現(xiàn)大量的假人,影響了正常玩家的登陸和游戲真慢,嚴(yán)重時(shí)完全無(wú)法登陸毅臊。
DDoS攻擊的主要原因商業(yè)競(jìng)爭(zhēng),所謂沒(méi)有買(mǎi)賣(mài)就沒(méi)有傷害黑界,做為迄今為止全球范圍內(nèi)尚無(wú)法完全攻克的互聯(lián)網(wǎng)頑疾之一管嬉,自互聯(lián)網(wǎng)誕生之初就已存在,并隨著互聯(lián)網(wǎng)的發(fā)展愈演愈烈朗鸠。
GDCA致力于網(wǎng)絡(luò)信息安全蚯撩,已通過(guò)WebTrust 的國(guó)際認(rèn)證,是全球可信任的證書(shū)簽發(fā)機(jī)構(gòu)烛占。GDCA專(zhuān)業(yè)技術(shù)團(tuán)隊(duì)將根據(jù)用戶(hù)具體情況為其提供最優(yōu)的產(chǎn)品選擇建議胎挎,并針對(duì)不同的應(yīng)用或服務(wù)器要求提供專(zhuān)業(yè)對(duì)應(yīng)的HTTPS解決方案。GDCA一直以“構(gòu)建網(wǎng)絡(luò)信任體系忆家,服務(wù)現(xiàn)代數(shù)字生活”的宗旨犹菇,致力于提供全球化的數(shù)字證書(shū)認(rèn)證服務(wù)。其自主品牌——信鑒易 TrustAUTH SSL證書(shū):包括 OVSSL芽卿、EVSSL项栏、代碼簽名證書(shū)等。為涉足互聯(lián)網(wǎng)的企業(yè)打造更安全的生態(tài)環(huán)境蹬竖,建立更具公信力的企業(yè)網(wǎng)站形象。
