DOS攻击与网络溯源技术

最新推荐文章于 2025-04-03 16:27:54 发布
最新推荐文章于 2025-04-03 16:27:54 发布
阅读量1.1w 收藏 54
点赞数 8
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dwj_daiwenjie/article/details/88855825
版权

1.DoS攻击

DoS攻击(Denial of Service,拒绝服务攻击)通过消耗计算机的某种资源,例如计算资源、网络连接等,造成资源耗尽,导致服务端无法为合法用户提供服务或只能提供降级服务。在SDN网络的集中式架构中,控制器是天然的网络中心,负责整个网络的管理和控制工作,很容易成为DoS攻击的目标。

1.1 SDN 网络下的 DoS 攻击

在OpenFlow网络架构中,控制器是网络的核心,承担了整个网络的控制管理工作;控制器需要对整个网络进行不同粒度的管理,网络本身的数据传输需求会对控制层面造成不小的压力;尤其当存在恶意攻击时,控制层面甚至可能无法对合法用户的请求做出响应,形成DoS攻击。虽然目前已有流表合并技术等研究方向能够缓解转发规则过细带来的压力,但是恶意攻击者只需修改数据包头部,增
加流表合并难度,仍会对整个网络造成严重影响。

1.2 饱和攻击

在众多DoS攻击中,有一种攻击为SDN网络所特有;Seungwon Shin将其命名为数据层到控制层的饱和攻击,简称为饱和攻击。该攻击的理论依据及造成的危害具体如下。
当新的流请求到达OpenFlow交换机后,交换机会将该数据流的第一个报文信息与交换机内部的转发规则进行匹配。当所有的流表都不存在与该数据流相匹配的转发规则且交换机设置为reactive模式时,数据包会被交换机封装到Packet-In消息中,并上发给控制器;由控制器进行路由计算并通过Packet_Out消息向交换机下发新的转发规则。当攻击者同时通过不同的交换机,持续地向网络中发送大量交换机无法匹配的数据流,会造成控制器与交换机同时忙于处理攻击者发送的非法数据流,造成无法满足正常用户的合法请求,从而导致DoS攻击。Seungwon Shin提出,在这种机制下,会产生两种攻击效果;首先是由于同时请求的报文过多,大量消耗控制器资源,导致正常数据流的请求无法得到服务或者服务受到影响;其次,由于攻击者伪造了大量的数据流,控制器会向转发层面的交换机发送大量无用的转发规则,导致交换机无法存储正常数据流的流表信息。除此之外,大量报文会占用连接控制器的链路,进一步令正常服务请求难以得到响应。此攻击利用了SDN网络的集中式架构,实施难度小,攻击者只要产生大量无法匹配流表的报文,就能达到同时消耗控制层面资源与数据层面资源的目的。上述方案常见的具体实施方法有两种,一是利用ARP协议,由于OpenFlow交换机只具有简单的转发功能,交换机在收到ARP请求后,会向控制器转发询问,攻击者可以向交换机发送大量伪造的ARP请求实现对控制器的攻击。另一种是利用ICMP报文,当攻击者不断修改自身IP地址,并向网络发送大量ICMP报文,会形成大量新的数据流,导致交换机不断向控制器发送报文,形成DoS攻击。以上两种方式属于利用OpenFlow协议的特点对SDN网络实施攻击的范例。

1.3常见DoS攻击检测方案

主要包括异常流量检测数据分析检测

异常流量检测是最常见的一类攻击检测方式。针对DoS攻击的异常流量检测方案可以分为两类:基于特征信息的检测和基于异常行为的检测。

基于特征信息的检测:通过检测数据流量的特征,将其特征与预先定义的攻击类型的特征进行比对,当数据流量的特征与预先定义的攻击特征相匹配,则判断网络中发生了该攻击。

基于异常行为的检测:预先设置网络中正常参数的阈值范围,通过分析网络中相关参数的数值并将其与阈值进行比较,当网络中参数不在正常范围内时,则判定网络出现攻击。

除了异常流量检测法外,目前常见的DoS攻击检测方案还有数据分析检测,通过对流量数据所含有的信息,包含空间信息、时间信息和技术指标信息构成三个维度来对数据流进行分析。针对不同种类的DoS攻击,下表列出了一些常见DoS攻击方式及其数据分析的检测指标。

2.DDOS攻击方式

2.1 SYN Flood攻击

SYN- Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,而且由于它可以方便地伪造源地址,追查起来非常困难。它的数据包特征通常是,源发送了大量的SYN包,并且缺少三次握手的最后一步握手ACK回复。

2.1.1 原理

例如,攻击者首先伪造地址对服务器发起SYN请求(我可以建立连接吗?),服务器就会回应一个ACK+SYN(可以+请确认)。而真实的IP会认为,我没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYN Time(一般30秒-2分钟)后,丢弃这个连接。
如果攻击者大量发送这种伪造源地址的 SYN请求,服务器端将会消耗非常多的资源来处理这种半连接

最低0.47元/天 解锁文章
WenjieDai
关注
DoSDDoS 攻击,一个字母之差,到底区别在哪?
网络技术联盟站
12-10 317
DoS(Denial of Service)拒绝服务攻击是指攻击者通过向目标服务器或网络发送大量无效请求,导致目标系统的资源耗尽,最终无法正常响应合法用户的请求,从而使服务中断。DoS 攻击的基本原理很简单:攻击者通过发送大量的请求或数据包,超出目标服务器的处理能力,使其无法处理正常的用户请求,导致服务不可用。流量耗尽攻击攻击者发送大量数据流量,消耗目标服务器的带宽和计算资源,导致正常流量无法通过。资源耗尽攻击
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
服务器被攻击了怎么办,如何追查DDoS攻击源头
m0_70655343的博客
09-23 1203
通过这种沿路径图不断向上进行,就能够接近攻击发起的源头。PacketMarking方法需要解决的主要问题是:由于IP包的Identification域只有16比特,因此加入的信息量很受限制,如果要追踪源地址或者路径就要精心构造加入的信息,这涉及到路由器如何更新已有的标记信息,如何降低标记信息被伪造的可能,如何应对网络中存在不支持PacketMarking的路由器的情况。这种方法的缺点是ICMP可能被从普通流量中过滤掉,并且,ICMP追踪消息依赖于路由器的相关功能,但是,可能一些路由器就没有这样的功能。
在网络安全护网中,溯源是什么?
vivlol918的博客
11-29 3748
溯源可以应用于多种场景,例如网络入侵调查、恶意软件分析、数据泄露事件、计算机犯罪等。其主要目标是通过收集和分析数字证据,找出攻击事件的起源、路径和影响,并对犯罪活动进行追踪。
DDoS攻击溯源技术难点突破方向
最新发布
searchboy2025的博客
04-03 34
首先,可以利用网络监控和数据分析技术对网络流量进行实时监测和分析,同时利用区块链技术和分布式数据库等技术构建数据共享平台,实现快速响应和协同作战。其次,还需要加强溯源人员的培训和管理,提高他们的专业素质和技术水平。最后,还需要考虑到网络安全政策和法律法规的约束,确保溯源工作的合法性和有效性。未来,我们需要继续加强技术研发和应用,提高溯源工作的效率和准确性,为保障网络安全做出更大的贡献。本文旨在为读者提供全面、深入的技术分析,揭示DDoS攻击的复杂性和技术挑战,并提出相应的解决方案和突破方向。
攻击溯源手段
mingyqf的博客
03-17 5140
转载至:https://www.eumz.com/2020-09/2000.html 攻击溯源手段 攻击溯源技术手段,主要包括ip定位、ID定位攻击者定位。 通过ip可定位攻击者所在位置,以及通过ip反查域名等手段,查询域名的注册信息,域名注册人及邮箱等信息。 通过ID定位可获取攻击者常用的网络ID,查询攻击者使用同类ID注册过的微博或者博客、论坛等网站,通过对网络ID注册以及使用情况的查询,定位攻击者所在公司、手机号、邮箱、QQ等信息。 或通过其他手段定位攻击者,如反制攻击者vps,获取攻击者vps中
【我Linux服务器被ddos了】记一次ddos防御+溯源+反击
qq_35581156的博客
03-15 6629
打比方说 被攻击方是你开的一家包子铺,正常的情况下无外乎就是客户来到你的包子铺,他给你钱你给他包子,这就可以看做是一次正常的服务器请求; 然后攻击方,也就是你隔壁也开了家包子铺,他的店铺没有人,羡慕嫉妒你门店里面客户很多,于是你隔壁家包子铺就花钱雇来一堆人去你的包子铺里面排队,只排队不买包子,扰乱你正常客户的买包子速度(因为要排队),这就是DDOS攻击
速盾:如何查找ddos攻击
zhuguowang01的博客
05-24 672
通过监控网络流量、分析日志文件、使用网络流量分析工具、进行路由追踪以及ISP协同合作,我们可以增加发现和定位DDoS攻击源头的准确性和效率。ISP通常拥有更强大的资源和技术来追踪和应对DDoS攻击,他们可以帮助你定位攻击源并采取必要的措施。这些措施可以降低DDoS攻击的风险并减轻攻击对你的网络造成的影响。通过分析日志文件,你可以了解攻击发生的时间、攻击类型以及攻击目标等重要信息,从而定位攻击源。通过分析网络数据包的源IP地址、传输协议和端口号等信息,可以帮助你追踪和定位DDoS攻击的源头。
网络安全之溯源技术:追寻攻击源的关键步骤
diaobusi的博客
06-23 4022
在网络安全防御中,溯源技术扮演着重要角色,它能够追踪和追溯恶意攻击的源头,帮助我们分析和应对网络威胁。漏洞利用分析:通过溯源技术,可以分析恶意软件利用的漏洞和攻击方法,并将相关反馈提供给系统管理员和软件开发者,以加强安全防护和修补漏洞。攻击追踪和溯源:通过溯源技术,可以追踪黑客攻击和其他网络攻击的源头和攻击者。恶意域名和钓鱼网站识别:溯源技术可以用于识别恶意域名和钓鱼网站,并及时采取相应的安全措施,以保护用户的信息和资产安全。通过追踪域名的注册信息和所有者,可以揭示攻击背后的黑手。二、溯源技术的实现原理。
网络攻击溯源流量分析
qq_63613566的博客
04-19 1781
实际上,如果服务器的TC P/IP栈不够强大,那么最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时,从正常客户的角度看来,服务器失去响应,这种情况就称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。如果数据库名称的第一位值的 ascii 码值等于 79,则会返回 1,否则返回0,这样当返回 1 时,’1’and 1 为 true,即可正常查询到数据。找寻下一步的利用点。
《网络安全应急响应技术实战指南》知识点总结(第8章 DDoS攻击网络安全应急响应)
qiuqiunile_的博客
03-27 6507
一、DDoS攻击概述 1、DDoS攻击简介 DDoS攻击是Distributed Denial of Service Attrak(分布式拒绝服务攻击)的缩写。DoS表示信息技术中实际上应可用的因特网服务的不可用性,最常见的是数据网络拥塞。而分布式拒绝服务攻击是一种大规模的DoS攻击攻击者使用多个ip地址或计算机对目标进行攻击。 绝大部分的DDoS攻击是通过僵尸网络产生的。僵尸网络采用一对多的控制方法进行控制。当确定受害者的IP地址或域名后,僵尸网络控制者发送攻击指令,随后就可以使网络断开连接,指令在僵尸
网络安全溯源(非常详细),零基础入门到精通,看这一篇就够了
分享Python知识
10-29 2553
网络安全溯源(非常详细),零基础入门到精通,看这一篇就够了
“暗黑流量”超大规模DDoS溯源分析
weixin_33747129的博客
09-18 322
本文讲的是“暗黑流量”超大规模DDoS溯源分析, 一、背景 近日,腾讯云鼎实验室的合作伙伴Panabit于2017年5月26日19点开始,监测到一次大面积网络攻击活动,本次活动呈现的最明显特点是参攻击的源地址覆盖度超级广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。据Panabit公司的统计,在线内网攻击地址八千万左右。 据监测,目前攻击呈现...
网络犯罪溯源分享·
LDF-Dicky的博客
10-09 1511
来自拼客学院杰哥的分享~ 先上图,肖同学考研被骗7000元,溯源案例=> 1、那么,什么是网络犯罪溯源? 其实这个是网络安全目前非常严峻的一个话题,也是这1到2年才慢慢出来的岗位、需求;而且很多互联网公司开始折腾的领域,美名为业务安全/内容安全/XXX安全领域。 目前全国的犯罪报案里面,“非物理接触”网络犯罪部分地区达到70%以上。 也就是说,现在单纯的警察这种传统线
实训4 网络攻击溯源流量分析
zlLzH18的博客
05-09 922
syn半链接攻击的特点和危害?SYN:同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。SQL注入攻击的一般流程是什么?
墨者 - 网络数据分析溯源(连接login.php的IP)
吃肉唐僧的博客
07-23 437
直接搜索包数据内容含有“/admin_d98gD2@k/login.php”的就行了 请求地址为45.179.70.154
网络安全攻防渗透之溯源
ta737的博客
09-18 1514
对于攻防演练蓝军的伙伴们来说,最难的技术难题可能就是溯源,尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值