拒绝服务攻击的攻防

• 拒绝服务是指通过反复向某个web站点发送过多的信息请求，堵塞该站点上的系统，导致无法完成应有的网络服务。拒绝服务分为资源消耗型、配置修改型、物理破坏型以及服务利用型。

DoS

• 拒绝服务攻击(Denial of Service,DoS)是指黑客利用合理的服务请求来占用过多的服务资源，使合法用户无法得到服务的响应，直至瘫痪而停止正常的网络服务的攻击方式。单一的DoS是采用一对一方式的，当攻击目标的CPU速度低、内存小或者网络带宽小等各项性能指标不高时，它的效果是明显的。否则，达不到攻击效果。

DDoS

 

 

• 分布式拒绝服务攻击(Distributed Dennial of Service,DDoS)，是指借助于客户机/服务机技术，将网络多个计算机联合作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。
• DDoS的攻击原理是通过制造伪造的流量，使得被攻击的服务器、网络链路或是网络设备(如防火墙、路由器等)负载过高，从而最终导致系统崩溃，无法提供正常的Internet服务。
• DDoS的类型可分为贷款型攻击和应用型攻击。带宽型攻击也称流量型攻击，这类攻击通过发出海量数据包，造成设备负载过高最终导致网络带宽或是设备资源耗尽。应用型攻击利用了诸如TCP或是HTTP的某些特征，通过持续占有有限的资源，从而达到阻止目标设备处理正常访问请求的目的。
• 快速广泛连接的网络为DDoS创造了极为有利的条件，现在电信骨干节点之间的连接都是以G为级别，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以分布在更大的范围。

常见的拒绝服务攻击(DDoS)

• Flooding攻击：将大量看似合法的TCP、UDP和ICMP包发送至主机，甚至有些攻击还利用源地址伪造技术来绕过检测系统的监控。
• SYN Flood攻击(利用TCP三次握手原理)：是一种黑客通过向服务器端发送虚假的包以欺骗服务器的做法，这种做法使服务器必须开启自己的监听端口不断等待，也浪费了系统的各种资源
• ICMP Flood：是通过向设置不当的路由器发送广播信息而占用系统资源的做法。
• LAND attack攻击：与SYN Flood类似，但攻击包中的源地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环，最终耗尽运行的系统资源而死机，难以正常运行。
• Application level Flood：主要针对应用软件层，同样是以大量消耗系统资源为目的，通过向IIS这样的网络服务程序提出无节制的资源申请来破坏正常的网络服务。

 拒绝服务攻击检测与防范

• 检测DDoS的方法主要有两种：根据异常情况分析和使用DDoS检测工

• 防范策略主要包括：

---

⑴尽早发现网络系统存在的攻击漏洞，及时安装系统补丁程序

 ⑵在网络安全管理方面，要经常检查系统的物理环境，禁止不必要的网络服务。

⑶利用网络安全设备(如防火墙)等来加固网络的安全性。

⑷对网络安全访问控制和限制。比较有效的防御措施就是与网络服务提供商协调工作，帮助用户实现路由的访问控制和对带宽总量的限制。

⑸当发现主机正在遭受DDoS时，应当启动应对策略，尽快追踪攻击包，并及时联系ISP(网络业务提供商)和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。

⑹对于潜在的DDoS应当及时清除，以免留下后患。