浅谈拒绝服务与分布式拒绝服务—Dos/DDos

攻击概念简述

1、Dos拒绝服务器攻击概念简述

利用程序漏洞或一对一资源耗尽的方法对服务端发起攻击。

2、DDos分布式拒绝服务攻击概念简述

多对一对服务端进行资源耗尽，重点在于量大。

拒绝服务攻击分类

1、Dos网络

基于巨量的flood耗尽目标网络带宽资源，如：ICMP flood、UDP flood。

2、Dos协议

利用协议的漏洞发起拒绝服务攻击，如：syn flood 、arp、dns、ssl等。

3、Dos应用

针对应用软件和操作系统漏洞发起的拒绝服务攻击，大量频繁访问消耗系统资源严重的应用（CC）。使其服务器停止响应。

以上分类并不严谨

常用的拒绝服务攻击方式介绍

1、SYN-flood 攻击原理简述

SYN flood（SYN泛洪）是种典型的Dos攻击，效果就是服务器TCP连接资源耗尽，停止响应正常的TCP连接请求（默认知道TCP三次握手建立连接的原理，这里不详述其原理）。我们持续向服务器发送大量的SYN请求报文，在接受到了服务器发送的SYN-ACK报文后，我们不发送ACK报文给服务器。导致服务端被大量注定不能完成的半开连接占据，直到资源耗尽，停止响应正常的连接请求。攻击脚本：syn_flood.py，这里就不给大家上传。注意防火墙要进行配置，阻止RST包发出

2、socktress攻击原理简述

此攻击是将完成TCP三次握手最后的ACK报文的windos设置为0。与服务端建立连接，但又没有数据。服务器会保留此连接等待客服端发送数据。只要我们与目标建立大量socket连接，就可耗尽被攻击目标系统资源。攻击脚本：socktress。

攻击防护措施

根本防御方法是采用白名单（不实际）

折中：限制单位时间内每IP建立的TCP连接次数；封杀每30秒与与80端口建立连接超过10个的IP地址

3、_DNS方式攻击原理

由于DNS协议又放大效果，其查询请求流量小，但响应流量可能非常巨大。我们可以伪造源地址为被攻击目标地址，向递归域名查询服务器发起查询。DNS服务器成为流量放大和实施攻击者，大量DNS服务端实现DDos。

4、_SNMP放大攻击原理。

也是由于请求流量小，查询结果放回流量大。造成可以实现DDos。

5、cc攻击原理（实现DDos和伪装攻击）

攻击者控制某些主机不停地发送大量数据包给对方服务器照成服务器资源耗尽，一直到宕机崩溃。简单来说就是模拟多个用户不停地进行访问哪些需要大量数据操作的页面。造成服务器资源的浪费，CPU长时间处于100%。永远都有处理不完的连接直至网络拥塞，正常访问中止。

6、应用层dos攻击原理

HTTP协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接资源池占用，此类大量并发将导致DoS。攻击方法实现有：Slowloris、Slow HTTP POST攻击等。

拒绝服务攻击防御方法

1、TCP连接有效性检查

校验TCP连接时间，指定时间内服务器最少发送的报文数，校验失败的屏蔽时间TCP连接约束 禁止代理访问

2、服务器资源占用限制

3、TCP连接会话限制

4、HTTP代理限制