=================================================================================
DoS攻击(拒绝服务攻击,Denial-of-Service attack)
- 使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问
DDoS攻击(分布式拒绝服务攻击,Distributed Denial-of-Service attack)
-
黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动DoS攻击
-
2018年3月,GitHub遭到迄今为止规模最大的DDoS攻击
DoS攻击可以分为2大类
-
带宽消耗型:UDP洪水攻击、ICMP洪水攻击
-
资源消耗型:SYN洪水攻击、LAND攻击
DoS、DDoS防御
防御方式通常为:入侵检测、流量过滤、多重验证
- 堵塞网络带宽的流量将被过滤,而正常的流量可正常通过
防火墙
-
防火墙可以设置规则,例如允许或拒绝特定通讯协议,端口或IP地址
-
当攻击从少数不正常的IP地址发出时,可以简单的使用拒绝规则阻止一切从攻击源IP发出的通信
-
复杂攻击难以用简单规则来阻止,例如80端口遭受攻击时不可能拒绝端口所有的通信,因为同时会阻止合法流量
-
防火墙可能处于网络架构中过后的位置,路由器可能在恶意流量达到防火墙前即被攻击影响
交换机:大多数交换机有一定的速度限制和访问控制能力
路由器:和交换机类似,路由器也有一定的速度限制和访问控制能力
黑洞引导
- 将所有受攻击计算机的通信全部发送至一个“黑洞”(空接口或不存在的计算机地址)或者有足够能力处理洪流的网络设备商,以避免网络受到较大影响
流量清洗
-
当流量被送到DDoS防护清洗中心时,通过采用抗DDoS软件处理,将正常流量和恶意流量区分
-
正常的流量则回注回客户网站
传输层 - SYN洪水攻击(SYN flooding attack)
攻击者发送一系列的SYN请求到目标,然后让目标因收不到ACK(第3次握手)而进行等待、消耗资源
攻击方法
-
跳过发送最后的ACK信息
-
修改源IP地址,让目标送SYN-ACK到伪造的IP地址,因此目标永不可能收到ACK(第3次握手)
防护参考:RFC 4987
LAND攻击(局域网拒绝服务攻击,Local Area Network Denial attack)
-
通过持续发送相同源地址和目标地址的欺骗数据包,使目标试图与自己建立连接,消耗系统资源直至崩溃
-
有些系统存在设计上的缺陷,允许设备接受并响应来自网络、却宣称来自于设备自身的数据包,导致循环应答
防护
-
大多数防火墙都能拦截类似的攻击包,以保护系统
-
部分操作系统通过发布安全补丁修复了这一漏洞
-
路由器应同时配置上行与下行筛选器,屏蔽所有源地址与目标地址相同的数据包
=====================================================================================
DNS劫持,又称为域名劫