常见的DDos攻击手段及解决手段

嘻嘻嘻嘻嘻x

已于 2024-01-11 18:32:27 修改

阅读量908

点赞数 20

文章标签： ddos web安全网络数据库 csrf 安全

于 2023-12-20 11:18:30 首次发布

本文链接：https://blog.csdn.net/liuhyusb/article/details/135103608

版权

本文详细介绍了DDoS攻击的原理、类型（如SYNFlood、DNSQueryFlood和CC攻击），以及网络安全的重要性，特别强调了网络安全人才短缺和行业高薪。同时提供了学习网络安全的路径和资源，包括成长路线图、视频教程和必备技术文档。

摘要由CSDN通过智能技术生成

DDoS(Distributed Denial of Service)即分布式拒绝服务攻击，是目前最为强大、最难以防御的攻击方式之一。要理解DDos,得先从DoS说起。最基本的DoS攻击就是利用合理的客户端请求来占用过多的服务器资源，从而使合法用户无法得到服务器的响应。DDoS攻击手段迁在传统的DoS攻击基础之上产生的一类攻击方式，传统的DoS攻击一般是采用一对一的方式，当攻击目标的CPU速度、内存或者网络带宽等各项性能指标不高的情况下，它的效果是明显的。

但随着计算机与网络技术的发展，计算机的处理能力显著增加，内存不断增大，同时也出现了千兆级别的网络，这使得DoS攻击逐渐失去了效果。这时分布式拒绝服务攻击手段(DDoS)便应运而生了。理解了DoS攻击后，DDoS的原理就非常简单了，它指的是攻击者借助公共网络，将数量庞大的计算机设备联合起来作为攻击平台，对一个或多个目标发动攻击，从而达到瘫痪目标主机的目的。通常在攻击开始前，攻击者会提前控制大量的用户计算机，称之为“肉鸡",并通过指令使大量的肉鸡在同一时刻对某个主机进行访问，从而达到瘫痪目标主机的目的。

DDos攻击的形式有很多种，如依赖蛮力的ICMP Flood、UDP Flood等，随着硬件性能的提升，攻击的机器规模越来越大，组织大规模的攻击越来越困难，现在已经不常见。还有就是依赖协议特征和具体的软件漏洞进行的攻击，如slow loris攻击、Hash碰撞攻击等，这类攻击主要利用协议和软件漏洞进行攻击，需要在特定环境下才会出现，更多的攻击者主要才有前面的两种方式混合，即利用了协议、系统的缺陷，又具备了海量的流量。

然后来讲解两个常见的DDos手段。

1.SYN Flood是曾经是最经典的攻击方式之一，要明白他的攻占原理，可以从TCP开始建立连接的过程开始说起。没基础的可以看下我这篇文章：

TCP超详细解析之三次握手，四次挥手，流量控制，滑动窗口 www.jianshu.com/p/b0d0023b3… 重新看下三次握手的部分。

TCP协议为实现可靠传输，在三次握手的过程中设置了一些异常处理机制。第三步中如果服务器没有收到客户端的ACK报文，服务端一般会进行重试，也就是再次发送 SYN +ACK 报文给客户端，并且一直处于 SYN_RECV 状态，将客户端加入等待列表。重发一般会进行 3-5次，大约每隔30秒左右会轮询一遍等待队列，重试所有客户端；另一方面，服务器在发出SYN+ACK报文后，会预分配一部分资源给即将建立的TCP 连接，这个资源在等待重试期间－直保留，更为重要的是，服务器资源有限，可以维护的等待列表超过极限后就不再接收新的SYN报文，也就是拒绝建立新的TCP连接。

SYN Flood正是利用了TCP协议三次握手的过程来达成攻击的目的。攻击者伪造大量的IP地址给服务器发送SYN报文，但是由于伪造的IP地址几乎不可能存在，也就不可能从客户端得到任何回应，服务端将维护一个非常大的半连接等待列表，并且不断对这个列表中的IP 地址进行遍历和重试，占用了大量的系统资源。更为严重的是，由于服务器资源有限，大量的恶意客户端信息占满了服务器的等待队列，导致服务器不再接收新的SYN请求，正常用户无法完成三次握手与服务器进行通信，这便是SYN Flood攻击。

DNS Query Flood

DNS Query Flood实际上是UDP Flood攻击的一种变形，由于DNS 服务在互联网中具有不可替代的作用，一旦DNS服务器瘫痪，影响甚大。

DNS Query Flood攻击采用的方法是向被攻击的服务器发送海量的域名解析请求。通常，诸求解析的域名是随机生成的，大部分根本就不存在，并且通过伪造端口和客户端IP, 防止查询请求被ACL过滤。被攻击的 DNS 服务器在接收到域名解析请求后，首先会在服务器上查找是否有对应的缓存，由于域名是随机生成的，几乎不可能有相应的缓存信息，当没有缓存. I 该域名无法直接由该DNS服务器进行解析时，DNS服务器会向其上层DNS服务器递归查询域名信息，直到全球互联网的13台根DNS服务器。大量不存在的域名解析请求给服务器带来很大的负载，当解析请求超过一定量时，就会造成 DNS 服务器解析域名超时，这样攻击者便达成了攻击目的。

CC攻击

CC ( Challenge Collapsar)攻击属于DDos的一种，是基于应用层 HTTP 协议发起的 DDos攻击，也被称为HTTP Flood.

CC攻击的原理是这样的，攻击者通过控制的大量 “肉鸡”或者利用从互联网上搜寻的大量知名的HTTP代理，模拟正常用户给网站发起请求直到该网站拒绝服务为止。大部分网站会通过CDN以及分布式缓存来加快服务端响应，提升网站的吞吐量，而这些精心构造的HTTP请求往往有意避开这些缓存，需要进行多次DB查询操作或者一次请求返回大量的数据，加速系统资源消耗，从而拖垮后端的业务处理系统，甚至连相关存储与日志收集系统也无法幸免。

cc攻击发起容易，防范困难，影响却广泛，是近年来 DDos攻击的主流方式。

cc攻击并不需要攻击者控制大量的 “肉鸡”，取而代之的是互联网上十分容易找到的各种 HTTP 代理，“肉鸡” 由于流量异常，容易被管理人员发现，攻击持续时间难以延续，而使用 HTTP 代理则使攻击者能够发起持续高强度的攻击。攻击在应用层发起，往往又与网站的业务紧密相连，使得防守一方很难在不影响业务的情况下对攻击请求进行过滤，大量的误杀将影响到正常访问的用户，间接地达成攻击者的目的。

其他比较常见的攻击手段还有DNS域名劫持、CON回源攻击、服务器权限提升，缓冲区溢出，以及一些依赖于平台或者具体软件漏洞的攻击等，防御的滞后性使得攻击的手段永远都比防御的手段多。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。