目录
一、初始DOS攻击与防御
1.1 DOS攻击概念
所谓拒绝服务攻击(Denial of Service),通常是利用传输协议中的某个弱点、系统或服务存在的漏洞,对目标系统发起大规模的进攻,使其无法处理合法用户的正常请求和提供正常服务,最终致使网络服务瘫痪,甚至系统死机,其破坏的是网络服务的可用性。简言之,DOS攻击是使目标系统瘫痪,是一种典型的损人不利已的攻击。
1.2 DOS攻击原因
1.2.1 内因
网络协议的安全缺陷
1.2.2 外因
外因又分两种情况,一种是是利益驱使的蓄意行为,也即攻击者故意为之。另一种则偶然、无意事件,比如检票口爆满,并非是有人故意为之。
1.3 DOS攻击原理
利用合理的请求占用过多的服务资源,使得服务超载,无法响应正常的服务请求,服务资源包括:网络带宽、文件系统空间容量、开放的进程、允许的连接。
1.4 DOS攻击方法
- 耗尽计算机资源,如带宽、内存、磁盘空间、处理器时间
- 破坏配置信息,如路由信息
- 破环状态信息,如TCP链接中断
- 破坏网络硬件
- 破坏通信介质,阻挡正常通信。
二、DOS常见攻击技术
2.1 SYN Flood
是当前最流行的拒绝服务攻击,是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽的攻击方式。
2.1.1 基本思想
发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
2.1.2 方法
- 阻断应答
- 伪装不在线的IP地址
2.1.3 防御措施
- 缩短SYN Timeout 时间(仅对攻击方不高的情况下有效)
- 设置SYN Cookie(依赖于对方使用真实的IP地址)
- 设置半开连接数量
2.2 ICMP Flood
2.2.1 Smurf Flood
防御:配置路由器禁止IP广播包进网
2.2.2 Ping of Death
- 死亡之Ping,发送一些尺寸超大(大于64K)的 ICMP 包。
- 防御:最有效防御方式是禁止 ICMP 报文通过网络安全设备。
2.3 land 攻击
Local Area Network Denial attack (LAND attack)局域网拒绝服务攻击
2.3.1 方式
发送具有相同源地址和目标地址的欺骗数据包。
2.3.2 防御
- 防火墙拦截
- 操作系统修复漏洞
- 配置路由器
2.4 TearDrop攻击
泪滴攻击,是基于UDP的病态分片数据包的攻击方法
2.4.1 现象
对于Windows系统会导致蓝屏死机,并显示STOPox0000000A错误
2.4.2 防御
添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
三、DDOS攻击与防御
3.1 认识DDOS攻击
- Distributed Denial of Service,分布式拒绝服务攻击,利用合理的请求造成资源过载,导致服务不可用的一种攻击。是一种分布的、协同的大规模玫击方式。
- 特点:利用若干个网络节点(肉鸡、僵尸网络)同时向目标发起攻击。
3.2 DDOS攻击流程
DDOS攻击通常分为攻击者、主控端和受害者三层结构
3.3 DDOS攻击的防御
3.3.1 抗DDOS产品
综合使用各种算法,结合攻击特征,流量清洗。
3.3.2 抗DDOS的网络设备
串联或并联在网络出口处。
3.4 CC攻击
- Challenge Collapsar: CC,挑战黑洞
- CC攻击:应用层DDOS
- CC攻击的对象:网页页面
3.4.1 CC攻击的原理
对一些资源消耗较大的应用页面不断发起正常请求,以达到造成消耗服务器端资源的目的。
3.4.2 CC攻击与网络层DDOS攻击区别
\ | 网络层DDOS攻击 | CC攻击 |
攻击对象 | 网站的服务器 | 网站的网页 |
攻击层面 | 网络层 | 应用层 |
3.4.3 防御CC攻击方法
3.4.3.1 优化服务器性能
- 应用代理做好性能优化
- 网络架构优化(负载均衡分流)
3.4.3.2 限制请求频率
可以通过IP地址和Cookie定位一个客户端,针对过频繁访问,采取重定向页面。
3.4.3.3 验证码机制
有效阻止自动化重放攻击的有效行为之一。