拒绝服务攻击
什么是DDos
DDos攻击 即分布式拒绝服务攻击
想要了解什么是DDos攻击,那么就要了解什么叫分布式,什么叫拒绝服务攻击
分布式 即同时控制多个设备(这里只是浅显的理解)拒绝服务 即使得目标服务器被迫停止为正常的用户提供服务
这两个东西放一起,就是DDos攻击了,所以说DDos攻击其实就是分布式的(D)拒绝服务攻击(Dos攻击)
我们这里将两个技术拆分开
分布式
由于DDos是一种网络攻击手段,所以在使用分布式技术的时候一般要考虑对攻击方的隐藏,即尽可能的阻止对DDos攻击的溯源。
一般的分布式需要一个或多个主控端,以及大量的受控端,在合法的环境下主控端是不需要对这个分布式网络外的主机隐藏的,但是在DDos攻击中,攻击方需要尽可能的隐藏自身,一般会通过多个跳板来实现对整个攻击的控制。
这里我画一个图,大家凑合看
这里列出一些可以避免攻击方被发现的方法
注:现今的溯源其实挺难的,很多时候上面的方法使用一个或两个就会对溯源造成很大的阻碍。
拒绝服务攻击
这就有很多了,想让一个服务器停止正常服务有非常多的办法
1. 通过协议漏洞
现今的各种网络协议是十分优美的,并且高效率的,但是依然存在一些协议上的漏洞,这里举例说几个.
SYN Flood
比如SYN泛洪攻击就是一个典型的代表,这种攻击技术和TCP的握手有关系,
TCP在传输数据前前需要三次握手包来建立连接,
发送方 发送方- ACK> 接收方
当发送方发送大量的SYN包给接收方,那么接受方就会回第二个包(SYN,ACK),此时发送发不发第三个包,那么接收方这里就存在着一个半开连接(即没有建立的连接),出现这种情况有很多,比如丢包、网络阻塞,而接收方则会在一定时间后重发这个包(TCP协议中这里会等待1s,2s…的方式重发包,重发5次 总共占用61s,当然一般的大型服务器会适当的调低重发次数和等待时间)在接收方放弃这个半开连接的这段时间内,发送发成功占用了接收方的一个连接,而服务器的连接数是有限制的。
通过这种方式,发送方发送大量的SYN,制造大量的半开连接,直到接收方的计算机资源(网络资源、CPU资源、内存资源等)使得接收方没有能力为其他正常用户提供服务.
IP分片报文攻击
在数据链路层的IP协议中,存在MTU这个特性,在IP数据包出计算机的网卡的时候,如果包过大,则会对IP进行分片操作,大致就是将一个IP数据包拆成多个数据包,并进行发送,IP分片可能在任何一台中间的路由器上发生,但只会在接收方进行重组,由于考虑到网络的拥塞、丢包问题,接收方会将这些IP分片保留一段时间。而接收方重组IP的分片需要消耗计算机的资源,通过这种方式达到Dos攻击的效果。
DNS Flood
攻击方发送大量的DNS解析请求,导致DNS服务器拒绝服务,使得目标网站无法正常做DNS解析,正常的用户可以通过ip地址来访问网站,但无法通过域名来访问,这里利用了DNS服务没有设计对Dos攻击的防护的弱点。
Ping of Death
这是个挺古老的攻击方式了,顺便就拿来说说了,TCP/IP协议控制 一个包的大小不能超过65536(2^16),如果主机收到长度大于65536字节的包吗,一些老型号主机可能会宕机,不过现在用的就少很多了.
反射型DDos
这是最近几年经常出现的一种攻击方式,有多种实现的方式,
攻击方并不会直接去攻击,而是利用互联网中的某些服务器,伪造被攻击着的IP地址,去向一个/多个开放服务的服务器发起请求,使得服务器发送大量的数据给被攻击IP,从而实现间接的DDos攻击。
例如DNS反射攻击,A伪造B的IP,去向DNS域名服务器C发送DNS域名解析请求,C收到请求后向B发送响应数据包,来实现对B的Dos攻击。
由于DNS协议是基于UDP的,不会做验证,造成这种攻击方式的出现。
当然反射性DDos有很多的…
3. CC攻击
ps:最近面试字节,面试官问了CC攻击,好久没复习了,当时没答出来,亏我还写过CC攻击为理论核心的OJ的多用户压测。
CC攻击,顾名思义(我瞎说的),就是 ,即挑战黑洞,大型的服务器一般会使用一个/多个专门的设备来低于DDos攻击,但是这些设备一般不会去分析应用层东西,所以(模)正常的流量可以轻松绕过这些设备,将攻击延伸到目标服务器.
CC攻击的原理即通过代理服务器或大量的肉鸡来模拟大量用户来访问目标网站的页面,这里一般会选取消耗服务器资源比较大的请求,比如调用数据库、服务器需要一定量的运算的请求。
比如 有个网站叫,是个俄罗斯的算法竞赛平台,攻击方就可以通过大量的提交程序来给评测机评测来占用大量的计算机资源。
未完待续
