互联网DDoS整理

简介

造成DDoS的几种方式

1.针对特定漏洞,定点攻击

介绍:这种攻击方式往往是黑客比较熟悉系统,利用系统或者系统的组件存在的漏洞,发出少量有针对性的请求,做出的攻击.

实例

fastJson安全漏洞 ,内存溢出,导致DDoS
XXE漏洞,利用此命令,组装xml文件,利用xml执行系统指令读取不存在的文件,造成崩溃.
hash冲突:比如利用hashMap的hash冲突,导致map数据链表化,同时做增删改操作,导致服务器响应变慢.造作部分用户访问拒绝
Slowloris攻击:不释放服务器连接(特别适用于需要长链接服务请求 ,比如在线聊天室)

处理:针对性处理

2.海量访问

介绍:这种攻击方式往往是通过大量的请求,造成server超出其服务能力,拒绝服务

对于互联网项目,天生就具有DDoS的攻击因子.互联网项目的多种优化方式,就是为了防止DDoS.而DDoS就是做相反的事情.

实例

SYN Flood :利用TCP的连接
UDP Flood :针对有服务器提供是UDP协议接口
HTTP Flood :大量的http请求(往往是特殊组装的,设定较长的发送时间)

处理:
技术层面:
网关:ip黑名单,服务降级,队列
server层面:条件校验,性能优化,有效利用缓存
数据库层面:消除慢查询、分表分库、索引、优化数据结构、限制搜索频率
业务层面:尽量减少有价值的接口直接暴露给外部

隐晦的做法

由于真实情况可能远比我们,举例一些比较特别的攻击手法
P2P操作是网络常用的文件传输手段,且比较耗费性能.
如果有大量的p2p请求,势必造成服务器耗费大量带宽和性能,造成DDoS

这里有个比较隐晦的做法是:如果将某些热点资源或者视频放在需要攻击的服务器上,吸引网络上大量的普通用户下载(这也是个引流的方式,看怎么看),造成大量的点击和下载,造成DDoS.