DDOS攻击详解

最新推荐文章于 2022-09-13 23:43:03 发布
最新推荐文章于 2022-09-13 23:43:03 发布
阅读量1.3k 收藏 2
点赞数 1

Ddos的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial of Service),即拒绝服务攻击,针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源,使得该目标系统无法提供正常的服务。

DDOS攻击详解DDOS攻击详解

DDos攻击

Ddos的攻击方式有很多种,最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。

一、攻击方式

1. Synflood

该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗,最终导致拒绝服务。

2. Smurf

该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

3. Land-based

攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

4. Ping of Death

根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

5. Teardrop

IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。

6. PingSweep

使用ICMP Echo轮询多个主机。

7. Pingflood

该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。

二、防御方法

1. 按攻击流量规模分类

(1) 较小流量:
小于1000Mbps,且在服务器硬件与应用接受范围之内,并不影响业务的: 利用iptables或者DDoS防护应用实现软件层防护。
(2) 大型流量:
大于1000Mbps,但在DDoS清洗设备性能范围之内,且小于机房出口,可能影响相同机房的其他业务的:利用iptables或者DDoS防护应用实现软件层防护,或者在机房出口设备直接配置黑洞等防护策略,或者同时切换域名,将对外服务IP修改为高负载Proxy集群外网IP,或者CDN高仿IP,或者公有云DDoS网关IP,由其代理到RealServer;或者直接接入DDoS清洗设备。
(3) 超大规模流量:
在DDoS清洗设备性能范围之外,但在机房出口性能之内,可能影响相同机房的其他业务,或者大于机房出口,已经影响相同机房的所有业务或大部分业务的:联系运营商检查分组限流配置部署情况并观察业务恢复情况。

2. 按攻击流量协议分类

(1) syn/fin/ack等tcp协议包:
设置预警阀值和响应阀值,前者开始报警,后者开始处理,根据流量大小和影响程度调整防护策略和防护手段,逐步升级。
(2) UDP/DNS query等UDP协议包:
对于大部分游戏业务来说,都是TCP协议的,所以可以根据业务协议制定一份TCP协议白名单,如果遇到大量UDP请求,可以不经产品确认或者延迟跟产品确认,直接在系统层面/HPPS或者清洗设备上丢弃UDP包。
(3) http flood/CC等需要跟数据库交互的攻击:
这种一般会导致数据库或者webserver负载很高或者连接数过高,在限流或者清洗流量后可能需要重启服务才能释放连接数,因此更倾向在系统资源能够支撑的情况下调大支持的连接数。相对来说,这种攻击防护难度较大,对防护设备性能消耗很大。
(4) 其他:
icmp包可以直接丢弃,先在机房出口以下各个层面做丢弃或者限流策略。现在这种攻击已经很少见,对业务破坏力有限。

傷節奏
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ddos流量攻击有多少G_攻击流量超过300G,遭遇DDoS时我们能做些什么?
weixin_39555579的博客
10-22 3479
首发公众号:码农架构一、 DDOS 攻击原理Distributed Denial of Service(DDoS),即分布式拒绝服务攻击,是指攻击者通过远程连接恶意程序控制大量僵尸主机(全国范围甚至全球范围的主机)向一个或多个目标发送大量攻击请求,消耗目标服务器性能或网络带宽,导致其无法响应正常的服务请求。常见攻击类型包括 SYN Flood、ACK Flood、UDP Flood、ICMP Fl...
使用Nginx、Nginx Plus抵御DDOS攻击的方法
01-20
DDOS 是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段。 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢。 一、应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS 攻击通常由木马程序发起,其可以通过设计更好的利用目标系统的脆弱点。例如,对于无法处理大量并发请求的系统,仅仅通过建立大量的连接,并周期性的发出少量数据包来保持会话就可以耗尽系统的资源,使其无法接受新的连接请求达到 DDOS 的目的。其他还有采用发送大量连接请求发送大数据包的请求进行攻击的形式。因为攻击是由木马程序发起,
DDos攻击详解,攻防策略分析
02-05
DoS 攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service 的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。
ddos流量攻击有多少G_如何防护ddos流量攻击?
weixin_39638801的博客
11-04 1079
量攻击分很多种:我们常见的DDOS CC SYN UDP等,目前在网络中,流量攻击比较难解决,普通的IDC机房或是服务器商都是依靠硬防来解决,但是碰到大流量攻击,往往是拔线了事,所以都不是什么好办法,治标不治本。最直接的方法就是加强防护,攻击一但超过了你购买的防护范围内,机房会直接封机了,大型高防机房可以直接,秒解或者5-10分钟解封,要是还被打封那就封的时间越久,所以处理这种方法就是加防护。看他...
DDoS防御的8种方针详解
weixin_67757219的博客
04-19 177
对于DDoS防御的理解: 对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定 的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做 到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力, 也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相 当于成功的抵御了DDOS攻击。 DDoS防御的方法: 1、采用高性能的网络设备 首先要保证网络设备不能成为瓶颈,因此选择路由器
详解ddos攻击手段及防护防御手段_极品全面.zip
11-11
详解分布式拒绝服务攻击ddos手段及防护防御手段_极品全面.zip tcp三次握手 各种ddos攻击:洪水攻击,反射攻击,放大攻击 防御ddos攻击
黑客是如何获取足够的流量以支撑其发动DDOS攻击
LuHai3005151872的博客
07-21 1651
对计算有一些了解的朋友可能都会知道DDoS是一种互联网最普及的攻击方式,也是一些黑客的初级入门的技巧,每一次进行大规模的DDoS的攻击,那打出来的流量都让人咂舌。动静大而且波及极为广阔,DDoS要的就是流量,大多数黑客基本上为获取流量而不择手段,抓取“肉鸡”不过是其中一种。下面让我们看看都有哪些获取流量的方式呢? 之所以DDoS能造成影响巨大,原因在于其简单直接的攻击方式。以往,一个黑客入侵一个网站,需要经过技术分析、查找漏洞以及实施入侵等一系列的工作,有些时候还未必奏效。DDOS攻击之所以能造成这么大的
DDoS详解
默默的博客
11-04 5466
一.基本介绍 DDoS(Distributed Denial of Service):分布式拒绝服务攻击 定义:通过占用网络服务的资源让服务器应接不暇,从而拒绝正常的业务流量的一种网络攻击方式。 作为一种历史悠久的网络攻击手段,DDoS攻击的手法暴力且直接,同时破坏力惊人,也缺乏根治的方法。 在了解DDoS攻击手段之前,首先要了解一点互联网的工作方式。(此内容针对小白,有基础人士请移步后面) 二.网络访问介绍 建议去阅读书籍:《TCP/IP协议详解 卷一:协议》。 一次网络访问的过程简化来
基于TCP/IP 协议栈划分的DDoS攻击与防御
亦在春风的博客
06-24 1296
ICMP请求需要一些服务器资源来处理每个请求并发送响应。该请求还需要传入消息(echo-r​​equest)和传出响应(echo-r​​eply)的带宽。Ping Flood 攻击旨在压倒目标设备响应大量请求和/或使用虚假流量使网络连接过载的能力。通过让僵尸网络中的许多设备针对具有 ICMP 请求的相同互联网资产或基础设施组件,攻击流量会大幅增加,可能会导致正常网络活动的中断。从历史上看,攻击者经常使用虚假IP 地址进行欺骗以屏蔽发送设备。在现代僵尸网络攻击中,恶意行为者很少发现需要掩饰机器人的 IP,而是
T级攻防:大规模DDOS防御架构
William234的博客
07-12 4699
T级攻防:大规模DDOS防御架构 DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。   网络层攻击   SYN-FLOOD   利用
什么是DDOS攻击?面对DDOS攻击真的没有办法吗?
Srsshier的博客
09-13 1375
其中,第三层和第四层的ddos攻击一般被统称为基础设施层攻击,一般通过模拟大量三四层的报文如icmp、udp、tcp来让服务器进行响应,从而达到消耗服务器资源的目的。这类攻击没有第一类常见,因为攻击者必须了解服务端应用程序工作方式,需要构造更加复杂的请求,比如某登陆页的http请求、某dns服务器的dns请求。DDoS(Distributed Denial of Service,分布式拒绝服务)攻击的主要目的是让指定目标无法提供正常服务,甚至从互联网上瘫痪消失,是目前最强大、最难防御的攻击之一。
DDoS攻击--CC攻击防护详解(HTTP).docx
12-04
DDoS攻击--CC攻击防护详解(HTTP).docx
如何利用路由器做到防止DoS洪水攻击
03-03
尽管网络安全专家都在着力开发阻止DoS攻击的设备,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击
分布式云计算平台架构详解.docx
07-08
分布式云计算系统 产品概述 数梦飞天云平台是数梦工场基于阿里云平台为行业客户量身定制的专有云平台,数梦飞天云平台完全基于自主知识产权,先后获85项国家技术专利,获得国家... 安全,支持防DDos攻击、安全组自
框架搭建内容合成的描述
04-19
框架搭建内容合成的描述
【Godot4自学手册】第三十八节给游戏添加音效
最新发布
04-19
【Godot4自学手册】第三十八节给游戏添加音效
人工智能BBSO算法,MATLAB实现,很基本的人工智能算法,里面有很多源程序
04-19
人工智能BBSO算法,MATLAB实现,很基本的人工智能算法,里面有很多源程序 (Artificial intelligence bbso) 文件列表: BBSO\alea.m (99, 2013-11-02) BBSO\alea_normal.m (532, 2013-11-02) BBSO\alea_sphere.m (483, 2013-11-02) BBSO\BBSO.m (5647, 2015-05-03) BBSO\BSO.asv (3521, 2013-11-02) BBSO\calef.m (375, 2014-02-08) BBSO\cauchy.txt (1282, 2013-11-02) BBSO\cauchy.zip (9607, 2013-11-02) BBSO\cauchycdf.m (1225, 2013-11-02) BBSO\cauchyfit.m (5565, 2013-11-02) BBSO\cauchyinv.m (1379, 2013-11-02) BBSO\cauchypdf.m (1221, 2013-11-02) BBSO\cauchyr
人工智能神经网络.ppt
04-19
人工智能神经网络.ppt
Free Download Manager CRX 3.0.59 for Chrome.crx
04-19
Free Download Manager 谷歌浏览器插件
kali ddos攻击
09-20
Kali Linux是一款流行的渗透测试和网络安全工具的发行版。DDoS(分布式拒绝服务)攻击是一种恶意行为,旨在通过将大量流量发送到目标服务器或网络来耗尽其资源,使其无法正常工作。在Kali Linux上发动DDoS攻击需要安装适当的工具和脚本。 一个常用的DDoS攻击工具是BoNeSi(Basic Network Stresser),它是一个DDoS僵尸网络模拟器。在Kali Linux上安装BoNeSi需要安装以下依赖包:libpcap-dev(Debian系统)或libpcap-devel(CentOS / RHEL系统)和libnet-dev(Debian系统)或libnet-devel(CentOS / RHEL系统)。安装完成后,你可以使用BoNeSi来模拟DDoS攻击。 另一个进行DDoS攻击的方法是使用第三方工具,如DDos-Attack。你可以使用以下命令在Kali Linux上安装DDos-Attack: Bash git clone https://github.com/Ha3MrX/DDos-Attack 请注意,DDoS攻击是非法的,并且违反了网络道德和法律法规。使用这些工具来攻击他人的网络是严重违法行为,会导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值