浅谈WEB安全之DDoS攻击

最新推荐文章于 2024-04-18 14:30:00 发布
最新推荐文章于 2024-04-18 14:30:00 发布
阅读量679 收藏 2
点赞数 2
分类专栏: 杂谈 文章标签: ddos攻击 dos 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qbian/article/details/70878009
版权

一、DoS(denial-of-service attack):拒绝服务攻击

二、DDoS(distributed denial-of-service attack):分布式拒绝服务攻击

三、都存在哪些攻击方式

一、DoS(拒绝服务攻击)

讲DDoS之前我们需要先说一下DoS攻击,DoS被称为拒绝服务攻击。我们可以这样理解:存在一个咖啡厅,每天的客流量都很固定,就算有浮动也不是很大,当前面积和座位量已经完全能够周转过来了。可是有一天突然来了很多人,他们从一早就坐进来,然后一坐就是一天,更可恶的是不消费,结果以往经常来的常客看到没位置后就走了。这就是DoS攻击,咖啡厅可以认为是服务器,那些占座位的恶劣客户可以认为是攻击者发起的占用服务器资源的一个连接,因为服务器的资源有限,当有大量连接都被攻击者占用,那来一个正常的访问请求也会被服务器拒绝掉,因为已经没有资源可以提供给访问者了,这就是拒绝服务攻击。

二、DDoS(分布式拒绝服务攻击)

如果攻击者只是用一台客户机发起攻击者对于服务器的压力还不是很大,当攻击者手中存在多个客户机(又称僵尸机),多台机器同时攻击服务器时,这就是分布式拒绝服务攻击,被称为DDoS攻击。

三、攻击方式

3.1、传输层-UDP攻击

我们都知道UDP是在网络层IP协议之上的协议,IP协议是不可靠(只负责传输数据包,不保证一定能到达目标),无连接(每一个数据包的传输路径都不是确定的)的协议,而UDP可以说只是将IP协议原封不动的拿过来就用,并没有做过多加工,所以说UDP也是不可靠,无连接协议,当数据包通过UDP发送时,所有的数据包在发送和接收时都是不需要进行握手验证的,当大量UDP数据包发送给服务器时,服务器拿到数据包会进行解析,解析完(根据数据包中的应用端口号)发现没有应用程序可以使用该数据包,然后就给发送者返回一个目标端口不可达等信息。这一来一回就占用了一个服务器连接,当存在海量该类型数据包时,服务器就会出现拒绝正常服务的现象。

3.2、传输层-TCP攻击

TCP也是基于IP协议之上的,只是TCP做了消息确认机制,发送数据前会进行三次握手,断开连接前会进行四次握手,每一个数据包都会进行接收确认、超时重发。所以TCP协议是一种可靠的数据传输协议。TCP传输数据前会进行三次握手,过程如下:

1)客户端向服务器发送一个SYN包,包含客户端使用的端口号和初始序列号x;

2)服务器收到客户端发来的SYN包后,再向客户端发送一个SYN和ACK,都是放在TCP报文内的,包含确认号x+1和服务器端的初始序列号y;

3)客户端收到服务器返回的SYN+ACK报文后,向服务器返回一个确认号y+1、序号为x+1的ACK报文,这时一个标准的TCP连接完成。

而攻击者在攻击时,伪造大量的源IP地址,分别向服务器发送大量的SYN包(上述第一步),此时服务器会返回SYN/ACK包(上述第二步),因为源地址是伪造的,所以伪造的IP并不会应答(上述第三步没有发生),服务器端没有收到伪造IP的回应,会尝试3~5次(上述第二步)并且等待一个SYN Time(一般是30秒至2分钟),如果超时则丢弃这个连接。如果攻击者海量发送这种伪造源地址的SYN请求,服务器将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断的对这些IP进行SYN+ACK重试,最后的结果就是服务器没有可用资源来提供给正常的连接请求,导致拒绝服务。

3.3、应用层攻击

很多应用程序目前还并不是前后端分离的,也就是说页面的渲染还是在服务器上完成的,而有的页面非常的大,服务器渲染可以会很消耗资源,其中涉及到分页的请求且请求的页码和当前页数据量很大时可以更吃服务器资源。这时如果存在海量的连接,同时请求该页面,并且页码很大,当前页数据设置的也很大,如果数据库对分页查询条件还没有建立索引,那处理这个请求可能就会很耗时,并且是海量请求,服务器也就吃不消了,这自然就会出现其他正常请求过来时被服务器拒绝掉。

一个更形象的例子:假设在双十一当天,淘宝网的首页存在一个脚本,每一次刷新页面时都会发起一个请求到你的个人服务器中的一个很耗时的操作,你的个人服务器并没有那么高的并发能力,也就会出现拒绝服务。

3.4、资源耗尽攻击

我们都知道web server对于并发的连接数都有一定的上限,因此若是恶意的占用住这些连接不放手,那么web server的所有连接都将被恶意连接占用,从而无法接受新的请求,导致拒绝服务。
在一个正常的HTTP包头中,是以\r\n\r\n表示HTTP Headers部分结束的。如果web server只收到一个\r\n,那么将认为HTTP Headers部分没有结束,并保持此连接不释放,继续等待完整的请求。此时客户端再发送任意的HTTP头,保持住连接即可。

3.5、HTTP POST攻击

HTTP POST攻击也是利用HTTP协议的Headers,在HTTP Headers中会有Content-Length属性,其值表示POST Body的数据长度,服务器收到Content-Length后没收到指定长度的数据是不会断开这个连接的。当我们指定一个非常大的Content-Length值后,然后我们再以非常低的速度发送数据,例如每80秒发送一个字节,保持住这个连接不断。这样当客户端连接数多了以后,占用住了web server的所有可用连接,从而导致DoS攻击成功。

DDoS攻击方式有很多,这里只是列出了一部分。

我的博客:https://qbian61.github.io/

Qbian
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DDoS.COM-专注为网站、DNS、客户端提供DDOS、CC等安全防护
06-20
适合范围: 经常受到大量DDOS攻击,CC攻击,黑客入侵的网站。 使用效果: 使用高防CDN后,不但保护了网站免受攻击,还大大提高了网站的速度,一举两得。 网站抗攻击原理: 隐藏网站的源IP地址,将攻击流量分散到全球机房节点,让黑客无从下手。 部署方法:非常简单,只需要解析域名的CNAME别名记录指向。 多个网站防护:开通多个产品就行,每个抗攻击产品可以保护一个网站
网络攻防之DDOS(slowloris)
qq_34597894的博客
10-16 3262
描述: DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。 常...
TCP-socket-ddos一文详解
WJ.L
03-26 457
本节内容 1.TCP协议浅谈 1.HTTP连接 2.SOCKET原理 3.TCP介绍 4.TCP连接的三次握手与四次挥手 2.DDOS 1.什么是DDOS 2.攻击原理 3.防护方法 4.其他攻击方式了解 一、TCP协议浅谈 1、HTTP连接 HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,是用于从W...
DDOS攻击脚本快速简便网络扫描与DDOS
RFZ_322的博客
05-30 4951
一个能让你进行快速简便网络扫描与DOS攻击的命令菜单
Web安全 DDoS攻击.(让网站无法正常地提供服务.)
网络安全领域___专研者.
03-03 4790
DDoS攻击 的概括: 分布式拒绝服务 (英文意思是Distributed Denial of Service,简称DDoS) 是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击.(消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务)
DDOS攻击
我爱编程持之以恒
07-31 1542
在互联网中一谈起DDOS攻击,人们往往谈虎色变。DDOS攻击被认为是安全领域最难解决的问题之一,迄今为止也没有一个完美的解决方案。各个互联网公司都等着5G时代的来临,等它来临分物联网领域的一份羹。当物联网时代真正来临的时候,网络设备数量会呈指数性地增长,对DDOS攻击的防御确实带来了一个很大的威胁。 一.DDOS简介 DDOS又称为分布式拒绝服务攻击,全称是Distributed Denial ofService。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场总共有100个车位.
Web安全:DDOS攻击的防范
TateBrwonJava的博客
07-28 1528
一、DDOS攻击的原理 全程:distributeddenial of service.分布式拒绝服务攻击。 官方解释: 在某一时刻(极小的一个时间区间)向要攻击的目标服务器发起大量的请求,耗尽目标服务器的可用资源,造成用户无法访问该服务器。也就是无法提供服务了,而且由于这种发起大量请求必然不太可能是单一的,是来自多方位的,所以是分布式的。 开发过web或者进行过压力测试的人应该都用过压...
web----DDOS攻击
weixin_30922589的博客
06-20 260
概述   分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程...
DoSDDoS攻击
embelfe_segge的博客
03-15 8902
文章目录 一、DoS攻击 1、DoS攻击简介 2、DoS攻击分类 2.1、按攻击的对象分类 2.2、按攻击目标分类 2.3、按攻击方式分类 2.4、按受害者类型分类 2.5、按攻击是否针对受害者分类 2.6、按攻击地点分类 3、常见DoS攻击 3.1、Land程序攻击 3.2、SYN Flood攻击 3.2、IP欺骗DoS攻击 3.4、Smurf攻击 3.5、Ping of Death 3.6、Teardrop攻击 3.7、WinNuke攻击 二、DDoS攻击 1、DDoS攻击
对于前后端分离技术的理解和实现
热门推荐
jielysong117的专栏
04-01 1万+
前端静态化前端有且仅有静态内容,再明确些,只有HTML/CSS/JS. 其内容来自于完全静态的资源而不需要任何后台技术进行动态化组装.前端内容的运行环境和引擎完全基于浏览器本身.后端数据化后端可以用任何语言,技术和平台实现,但它们必须遵循一个原则:只提供数据,不提供任何和界面表现有关的内容.换言之,他们提供的数据可以用于任何其他客户端(如本地化程序,移动端程序).平台无关化前端3大技术本身就是平台无
网络安全防护之深入浅出谈DDoS攻击防御——攻击篇
03-23
DDoS(DistributedDenialofService,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击之一。按照发起的方式,DDoS可以简单分为三类。第一类以力取胜,...
服务器安全狗的ddos攻击实例和设置.docx
11-02
服务器安全狗的ddos攻击实例和设置
网络安全DDoS攻击防护
11-12
详细阐述DDoS攻击防护原理,列举常见的DDoS攻击(deny型,FLood型,放大型),列举常见的引流回注方式,说明防护及引流回注涉及的网络技术及防护技术。
浅谈DDoS攻击下的本地防护策略
01-19
分布式拒绝服务(Distributed Denial of Service,又简称DDoS)攻击是通过使用大规模互联网流量淹没目标服务器或其基础网络设施,从而影响网络正常流量及服务的恶意行为。 恶意攻击者通过劫持连接互联网的计算机等...
浅谈利用JavaScript进行的DDoS攻击原理与防御
10-24
主要介绍了浅谈利用JavaScript进行的DDoS攻击原理与防御,以及介绍了相关的中间人攻击原理,需要的朋友可以参考下
亚马逊账号安全:如何避免被关联和封禁?
Tiger_Bella的博客
04-16 900
无论是在亚马逊、eBay、Wish、速卖通、沃尔玛、美客多、独立站、阿里国际、Lazada、Shopee还是Mercari等平台,通过自养号测评来获取评论和销量,是最节约成本、也是最有效的方式之一。实际上,最重要的是要了解平台风控的关键点,是硬件参数的关联、IP的纯净度问题,还是指纹插件或者cookie的关联,又或者是支付卡被风控。亚马逊内部设有卖家举报功能。2. IP地址的纯净度问题:采用高质量的IP地址服务,避免使用被大量其他用户共享的IP,可以考虑使用一些专业的IP服务提供商,确保IP的干净程度。
数字时代安全风险防范与保密科技创新
最新发布
qq_41432686的博客
04-18 1104
当前,随着科技的迅猛发展和经济社会数字化转型的加速演进,以人工智能、大数据、云计算、区块链、量子计算等为代表的新技术不断应用于社会生活各领域,给保密工作带来了新的发展机遇,也带来了较大挑战。一些国家加强新技术在保密领域的应用,不断提升保密水平和维护国家安全能力,同时加快出台监管政策,规范新技术领域发展,并积极探索安全保密与技术发展的平衡,确保信息安全。用好新技术这把“双刃剑”,既便利信息资源的传播利用,又能有效防范潜在的安全风险,是新时代保密工作亟待解决的新课题。
如何保护IP地址?安全匿名上网的方法
EVA_Proxy的博客
04-11 1337
IP地址是互联网协议地址的简称,它是一个独特的数字组合,专门用来识别和定位路由器、计算机或其他设备,确保它们能够顺畅地通过互联网进行通信。正如电子邮件地址能让别人给您发送邮件一样,远程计算机也需要您的IP地址来与您的计算机建立联系并进行交流。通常,IP地址的格式是由四个数字块组成的一个序列。每个数字块的取值范围都在0到255之间,这意味着每个数字块有256种可能的组合。这样的数字IP系统可以生成大约40亿个不同的IP地址。实际上,要追踪到某个人的IP地址并不是特别困难。
如何搭建高效安全的eBay测评环境:步骤与要点解析
weixin_61644212的博客
04-18 440
同时,要确保在整个过程中遵守相关法律法规和平台规定,确保测评的安全性和可持续性。使用防关联的浏览器,确保每个账号在浏览器层面上独立运行,防止关联。:确保每个账号都有独立的IP地址和支付工具,避免使用重复资源。:在处理个人信息和交易数据时,确保数据的安全性和隐私保护。:准备足够数量的纯净国外家庭住宅IP,确保每个账号都有独立的IP地址,避免IP重复率过高。:使用国外的服务器和纯净的国外家庭住宅IP,通过远程安全终端进行搭建,阻断硬件参数的关联。:信用卡或礼品卡等支付工具,确保支付流程的顺畅和安全
kali 对web服务器发起ddos攻击
09-27
其中包括一些可以用于发起DDoS攻击的工具,如LOIC(低轨道离子炮)和HOIC(高轨道离子炮)。这些工具可以通过向目标Web服务器发送大量的请求来占用服务器资源,从而导致拒绝服务的情况。然而,请注意,发起未经授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值