昨晚藏斩,網(wǎng)站被人打了躏结,一個群里活躍的幾位大佬網(wǎng)站,被無差別 DDoS 狰域,峰值流量達(dá)到了 100G媳拴,基本上都被服務(wù)商封堵,進(jìn)路由黑洞了兆览。借這個機(jī)會屈溉,學(xué)習(xí)下 DDCC 究竟是什么,以及如何去防御拓颓,遭遇 DDCC 該怎么辦语婴?
什么是 DDCC ?
DDCC 其實(shí)是指 DDoS (分布式拒絕服務(wù)攻擊驶睦,Distributed Denial of Service) 和 CC 攻擊(ChallengeCollapsar)砰左。
什么是 DDoS 攻擊?
DDoS 中的 D 是指 Distributed场航, DOS 是 Denial of Service(拒絕服務(wù))的縮寫缠导,那么,DDOS 就是 通過 N 多個計(jì)算機(jī)/服務(wù)器溉痢,向目標(biāo)發(fā)動 DOS 攻擊僻造。
借助其他關(guān)于 DDOS 介紹的餐廳的例子憋他,可能更加形象些。我開了一家餐廳髓削,即網(wǎng)站或者其他服務(wù)竹挡,正常情況下,可以容納 50 個人一起吃飯立膛,在人沒滿的時候揪罕,你隨便找個找個位置就能立馬點(diǎn)餐吃上飯,即可以訪問網(wǎng)站或者使用服務(wù)宝泵。然而好啰,同行是冤家,我的餐廳生意好引來同行的眼紅嫉妒儿奶,或者我得罪了一個流氓框往,他找來 500 個人,同時來餐廳闯捎,好像也是來吃飯的椰弊,即攻擊。但是隙券,餐廳的容量只有 50 個男应,根本不可能滿足這么的點(diǎn)餐需求,同時娱仔,這么多人沐飘,把門口堵得死死的,讓正常想用餐的人也無法來餐廳點(diǎn)餐吃飯牲迫,即拒絕服務(wù)耐朴,這樣,等價于餐廳是癱瘓了盹憎,同行/流氓的目的也就達(dá)到了筛峭。
這就是 DDOS 攻擊,在瞬間發(fā)起大量的請求陪每,耗盡所有的服務(wù)器資源影晓,導(dǎo)致無法提供正常的服務(wù),導(dǎo)致服務(wù)器癱瘓檩禾。
DDOS 攻擊手段有哪些挂签?
DDOS 不是一種攻擊,而是一大類攻擊的總稱盼产。網(wǎng)站運(yùn)行的各個環(huán)節(jié)饵婆,都可以是攻擊目標(biāo)。只要把一個環(huán)節(jié)攻破戏售,使得整個流程跑不起來侨核,就達(dá)到了癱瘓服務(wù)的目的草穆。按照采取的攻擊手段的和目標(biāo)的不同,可以將 DDOS 攻擊分為基于 ARP 的攻擊搓译、基于 ICMP 的攻擊悲柱、基于 IP 的攻擊、基 于UDP 的攻擊些己、基于 TCP 的攻擊和基于應(yīng)用層的攻擊诗祸。
基于 ARP
ARP 是無連接的協(xié)議,當(dāng)收到攻擊者發(fā)送來的 ARP 應(yīng)答時轴总。它將接收 ARP 應(yīng)答包中所提供的信息。更新 ARP 緩存博个。因此怀樟,含有錯誤源地址信息的ARP請求和含有錯誤目標(biāo)地址信息的 ARP 應(yīng)答均會使上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求,使得目標(biāo)主機(jī)喪失網(wǎng)絡(luò)通信能力盆佣。產(chǎn)生拒絕服務(wù)往堡,如 ARP 重定向攻擊。
基于 ICMP
攻擊者向一個子網(wǎng)的廣播地址發(fā)送多個 ICMP Echo 請求數(shù)據(jù)包共耍。并將源地址偽裝成想要攻擊的目標(biāo)主機(jī)的地址虑灰。這樣,該子網(wǎng)上的所有主機(jī)均對此 ICMP Echo 請求包作出答復(fù)痹兜,向被攻擊的目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包穆咐,使該主機(jī)受到攻擊,導(dǎo)致網(wǎng)絡(luò)阻塞字旭。
基于 IP
TCP/IP 中的 IP 數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時对湃,數(shù)據(jù)包可以分成更小的片段。到達(dá)目的地后再進(jìn)行合并重裝遗淳。在實(shí)現(xiàn)分段重新組裝的進(jìn)程中存在漏洞拍柒,缺乏必要的檢查。利用IP報(bào)文分片后重組的重疊現(xiàn)象攻擊服務(wù)器屈暗,進(jìn)而引起服務(wù)器內(nèi)核崩潰拆讯。如 Teardrop 是基于IP 的攻擊。
基于 TCP —— SYN Flood
SYN Flood 攻擊的過程在 TCP 協(xié)議中被稱為三次握手(Three-way Handshake)养叛,而 SYN Flood 拒絕服務(wù)攻擊就是通過三次握手而實(shí)現(xiàn)的种呐。TCP 連接的三次握手中,假設(shè)一個用戶向服務(wù)器發(fā)送了 SYN 報(bào)文后突然死機(jī)或掉線一铅,那么服務(wù)器在發(fā)出 SYN+ACK 應(yīng)答報(bào)文后是無法收到客戶端的 ACK 報(bào)文的(第三次握手無法完成)陕贮,這種情況下服務(wù)器端一般會重試(再次發(fā)送 SYN+ACK 給客戶端)并等待一段時間后丟棄這個未完成的連接。服務(wù)器端將為了維護(hù)一個非常大的半連接列表而消耗非常多的資源潘飘。
基于應(yīng)用層
應(yīng)用層包括 SMTP肮之,HTTP掉缺,DNS 等各種應(yīng)用協(xié)議。其中 SMTP 定義了如何在兩個主機(jī)間傳輸郵件的過程戈擒,基于標(biāo)準(zhǔn) SMTP 的郵件服務(wù)器眶明,在客戶端請求發(fā)送郵件時,是不對其身份進(jìn)行驗(yàn)證的筐高。另外搜囱,許多郵件服務(wù)器都允許郵件中繼。攻擊者利用郵件服務(wù)器持續(xù)不斷地向攻擊目標(biāo)發(fā)送垃圾郵件柑土,大量侵占服務(wù)器資源蜀肘。CC 攻擊是應(yīng)用層攻擊的典型手段。
上述分類來自于百度百科 DDOS 攻擊詞條
什么是 CC 攻擊稽屏?
CC 攻擊本質(zhì)上仍是 DDOS 的一種扮宠,攻擊者借助代理服務(wù)器生成指向受害主機(jī)的合法請求,實(shí)現(xiàn) DDOS 和偽裝就叫 CC (Challenge Collapsar)狐榔,CC攻擊是目前應(yīng)用層攻擊的主要手段之一坛增,借助代理服務(wù)器生成指向目標(biāo)系統(tǒng)的合法請求,實(shí)現(xiàn)偽裝和DDoS薄腻。
CC 主要是用來攻擊頁面的收捣。我們都有這樣的體驗(yàn),訪問一個靜態(tài)頁面庵楷,即使人多也不需要太長時間罢艾,但如果在高峰期訪問論壇、貼吧等尽纽,那就很慢了昆婿,因?yàn)榉?wù)器系統(tǒng)需要到數(shù)據(jù)庫中判斷訪問者否有讀帖、發(fā)言等權(quán)限蜓斧。訪問的人越多仓蛆,論壇的頁面越多,數(shù)據(jù)庫壓力就越大挎春,被訪問的頻率也越高看疙,占用的系統(tǒng)資源也就相當(dāng)可觀。而現(xiàn)在的網(wǎng)站一般多是用 WordPress 或者 Typecho 或者其他的
CMS 等動態(tài)程序搭建直奋,在解析的時候會占用一定的 CPU 資源與訪問數(shù)據(jù)庫能庆,這就讓 CC 攻擊有了可趁之機(jī)。
二者的區(qū)別
DDoS 是針對 IP 的攻擊脚线,而 CC 攻擊的是網(wǎng)頁搁胆。
至于如何防御以及遇到攻擊如何處理,請看下一篇文章
參考文章
百度百科“DDOS 攻擊”詞條:https://baike.baidu.com/item/DDOS
百度百科“CC 攻擊”詞條:https://baike.baidu.com/item/CC攻擊
知乎問題 “什么是 DDoS 攻擊?”: https://www.zhihu.com/question/22259175
