关于DDoS攻击的学习

最新推荐文章于 2024-08-04 08:15:00 发布

zzhzhua

最新推荐文章于 2024-08-04 08:15:00 发布

阅读量2k

点赞数

文章标签：服务器 tcp dos 网络防火墙 service

本文链接：https://blog.csdn.net/zzhzhua/article/details/2983122

版权

关于DDoS攻击

目前网络安全中常见的攻击主要有以下几种，其所占比例如表：

由此我们有必要认识一下站攻击比例最高的拒绝服务攻击：DoS攻击。

目前拒绝服务攻击有主要以分布式的形式，即分布式拒绝服务攻击(DDoS攻击).下面我们主要来认识一下DDoS攻击。

在我们开始了解DDoS攻击之前，先来了解一下DoS攻击，即拒绝服务攻击(Denial of service)：DoS攻击是指当攻击源通过假数据、请求服务来淹没正常服务，使服务下降、失败，以至于合法请求被丢失、忽略。这种攻击使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，倒是网络或系统不胜负荷以至于瘫痪而停止提供正常的服务。攻击原理图如下：

DDoS攻击(Distributed Denial of Service) 即分布式拒绝服务攻击：是一种基于Dos的分布、协作的大规模的攻击方式，它直接或间接通过互联网上其他受控制的计算机攻击目标系统或者网络资源的可用性，同DoS一次只能运行一种攻击方式攻击一个目标不同，DDoS可以同时运用多种DoS攻击方式，也可以同时攻击多个目标。其攻击原理图如下：

DDoS攻击是一种技术含量低，但攻击效果明显的攻击方法。

被DDoS攻击时通常会出现以下几种现象：

1、数据段内容只包含文字和数字字符（例如：没有空格、标点和控制字符）的数据包。(但是现在的DDoS攻击已经逐渐改变了攻击的方式，他们可以通过“/./” 字符串插入法来绕过针对这中情况的检测系统的检测)。

2、不属于正常连接通讯的TCP和UDP数据包。 3、特大型的ICMP和UDP数据包。

4、当DDoS攻击一个站点时，会出现明显超出该网络正常时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。

DDoS攻击的实施过程是：1、收集目标主机信息：1)目标主机的数量和地址。2)、目标主机的系统配置和性能。3)、目标主机的网络带宽。 2、占领主控机和代理主机。

3、发起攻击。

首先看最常见的SYN攻击，SYN攻击是DDoS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时侯需要双方相互确认信息，来防止链接被伪造和精确控制整个数据传输过程数据完整有效，TCP协议采用三次握手建立一个链接：

第一次：建立链接时，客户端发送SYN包到服务器，并进入SYN_SEND状态，等待服务器确认。

第二次：服务器收到SYN包，确认客户的SYN同时自己也发送一个SYN包，及SYN+ACK包，此时服务器进入SYN——RECV状态。

第三次：客户端收到SYN包，确认客户的SYN同时自己也发送一个SYN包，及SYN+ACK包，此时服务器进入SYNRECV状态。

SYN攻击利用TCP协议三次握手原理存在的漏洞，大量发送伪造源IP的SYN包，也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个链接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN包太多，半连接队列就会溢出，操作系统会把这个链接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃。（早期的DDoS攻击基本上是以单纯的利用协议漏洞进行攻击为主。例如常见的TCP SYN flood就是利用TCP对发起SYNB请求的源IP地址不进行校验这一漏洞，通过向攻击目标大量发送SYN请求数据包。导致目标主机资源耗尽，从而达到拒绝服务的攻击目的）。

DDoS攻击的一般方法有以下三种：

1、通过发送大的数据包堵塞服务器带宽，造成服务器线路瘫痪。 2、通过发送特殊的数据包造成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪。

3、通过标准的链接建立起链接后发送特殊的数据包造成服务器运行的网络服务软件耗费CPU内存最终瘫痪。

DDos攻击种类一般有以下几种：1、SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙错误倒是死锁，消耗服务器CPU内存的同时还会堵塞带宽。

2、TCP混乱数据包攻击：发送伪造源IP的TCP数据包，TCP头的TCP Flags部分是混乱的，可能是SYN，ACK，SYN+ ACK，SYN+RST等等，会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。

3、针对UDP协议攻击：攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防火墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。

DDoS攻击的分类：目前DDoS攻击主要分为带宽耗尽型和资源耗尽型两类：带宽耗尽型主要是指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。带宽攻击有可以分为洪泛攻击和放大攻击；资源耗尽型是攻击者利用服务器的处理能力是有限的，尽可能多的发送数据包，接近服务器的处理消息的极限，消耗目标服务器的关键资源。

这篇学习DDoS的文章，我主要是了解一下DDoS攻击，初步认识了什么是DDoS攻击，以及DDoS怎样攻击，被攻击后有什么反应。现不做进一步的检测和防御的学习，本文是本人对DDoS攻击学习的初步认识，请大家多多指教。