当前位置:文档之家 › DDoS攻击原理及防护方法论(图)

DDoS攻击原理及防护方法论(图)

  • 格式:docx
  • 大小:706.67 KB
  • 文档页数:18

下载文档原格式

  / 18

合集下载

网络安全中的DDoS攻击防范

网络安全中的DDoS攻击防范

网络安全中的DDoS攻击防范DDoS攻击(分布式拒绝服务攻击)是一种常见的网络安全威胁,通过大量的恶意请求将目标服务器或网络资源超负荷,导致其无法正常运行。

本文将介绍DDoS攻击的原理和常见类型,并提供一些有效的防范方法,帮助保护网络安全。

一、DDoS攻击的原理和类型1. 原理:DDoS攻击的基本原理是利用多个来源的恶意流量同时攻击目标,占用目标服务器或网络的带宽、处理能力和资源,导致目标系统过载,无法正常提供服务。

2. 类型:(1)UDP Flood攻击:攻击者向目标服务器发送大数量的UDP数据包,占用目标服务器的带宽资源,使其无法正常工作。

(2)SYN Flood攻击:攻击者伪造大量伪装IP地址的TCP连接请求,使目标服务器无法处理实际用户的请求。

(3)HTTP Flood攻击:攻击者使用大量的合法HTTP请求占用目标服务器的带宽和系统资源,导致服务器无法响应正常用户的请求。

二、DDoS攻击的危害DDoS攻击对个人、组织和企业的影响严重,包括但不限于以下几个方面:1. 服务中断:攻击会导致目标服务器无法正常提供服务,造成服务中断或严重延迟,影响用户的正常使用体验。

2. 数据泄露:攻击者可能利用攻击分散防御者的注意力,进行其他恶意行为,如窃取敏感数据等。

3. 信誉损失:若组织或企业无法及时有效地应对攻击,会造成对其品牌声誉的不利影响,导致业务的损失。

三、DDoS攻击的防范方法1. 流量过滤:通过使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等技术,实时监测和过滤来自外部的恶意流量,确保只有合法的流量能够访问目标服务器。

2. 负载均衡:通过使用负载均衡设备,将流量分散到多个服务器上,避免单一服务器成为攻击目标,提高整个网络的抗攻击能力。

3. CDN(内容分发网络):运用CDN技术将静态资源分散到多个全球分布的服务器上,可以减少DDoS攻击对服务器的直接冲击,提高系统的抗攻击性能。

4. 流量清洗:将来自外部的流量经过清洗设备,剔除其中的恶意请求,只将合法流量转发到目标服务器,减轻攻击带来的影响。

DDOS攻击分析方法与分析案例、解决方案

DDOS攻击分析方法与分析案例、解决方案

DDOS攻击分析方法与分析案例、解决方案1. DDOS攻击分析方法与分析1.1. DDOS 概论DDOS 英语全名为Distributed Denial of Service 分布式拒绝攻击。

是现在网络攻击中最经常使用也是最难以防御的一种网络攻击。

其攻击原理与传统的DOS相似,都是利用合理的服务请求来占用过多的服务资源,从而使合法的用户无法得到服务响应。

DDOS是传统的DOS的“增强版”。

由传统的单台PC的攻击扩展为大量的PC(一般是黑客占领的傀儡机,也就是“肉鸡”)集群的攻击。

其攻击效果和规模是传统的DOS所无法相比的,下图为DDOS攻击的示意图:如上图:黑客控制者一般会通过“跳板”即图中的2 控制傀儡机来发送自己的攻击指令,而傀儡机接受到攻击指令以后会向受害者发起潮水般的攻击。

淹没正常的服务请求,造成正常的服务无法进行。

1.2. DDOS种类DDOS的攻击方法很多,大体上可以分为三大类:⏹主要以消耗系统资源为主的攻击这种代表者为syn flood 和模拟正常用户访问请求反复查询数据库等大量消耗系统资源的攻击。

消耗系统资源的攻击不需要很大的流量就能取得不错的攻击效果。

例如SYN flood ,windows2000 系统当物理内存是4g的时候核心内存只有不到300M,系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。

Windows 2003 默认安装情况下,WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。

标准SYN数据包64字节5000个等于5000*64 *8(换算成bit)/1024=2500K也就是2.5M带宽,如此小的带宽就可以让服务器的端口瘫痪,由于攻击包的源IP是伪造的很难追查到攻击源,,所以这种攻击非常多。

⏹消耗网络资源的攻击代表者有UDP flood ,ICMP flood ,smurf等。

此类攻击主要是通过大量的伪造数据包,来淹没正常的数据请求,实现拒绝服务。

DDOS攻击原理与攻击技术2

DDOS攻击原理与攻击技术2

2、Land-based
IP欺骗:使得被信任的主机丧失工作 能力,同时采样目标主机发出的TCP 序 列号,猜测出它的数据序列号。然后,伪装成 被信任的主机,同时建立起与目标主机基于地址 验证的应用连接。 攻击者将一个包的源地址和目的地址都设置为目标 主机的地址,然后将该包通过IP欺骗的方式发送给被 攻击主机,这种包可以造成被攻击主机因试图与自己 建立连接而陷入死循环,从而很大程度地降低了系统 性能。
Smurf攻击
Smurf攻击 的作用原理就是基于 广播地址与回应请求的。该攻击 向一个子网的广播地址发一个带 有特定请求(如ICMP回应请求) 的包,并且源地址伪装成想要攻 击的主机地址,子网上所有主机 都会用广播包请求而向被攻击主 机发包,使该主机受到攻击。
Surf攻击原理图
smuf攻击的过程
一多一
多对一
DoS攻击原理(图)
3、DDOS攻击原理
实际发起攻击
上传DDoS程序 只 发 布 命 令
攻 击
控制
分析:
对第4部分的受害者来说,DDoS的实
际攻击包是从第3部分攻击傀儡机上 发出的,第2部分的控制机只发布命 令而不参与实际的攻击。
分析:
对第2和第3部分计算机,黑客有控制权或 者是部分的控制权,并把相应的DDoS程序上传 到这些平台上,这些程序与正常的程序一样运 行并等待来自黑客的指令,通常它还会利用各 种手段隐藏自己不被别人发现。 在平时,这些傀儡机器并没有什么异常,只 是一旦黑客连接到它们进行控制,并发出指令 的时候,攻击傀儡机就成为害人者去发起攻击 了。
该攻击在短时间内向目的主机发送大量ping包, 造成网络堵塞或主机资源耗尽。
5、原理介绍(surf)
一台计算机向另一台计算机发送一些特 殊的数据包如ping请求时,会接到它的 回应;如果向本网络的广播地址发送请 求包,实际上会到达网络上所有的 计 算机,这时就会得到所有计算机的回应。 这些回应是需要被接收的计算机处理的, 每处理一个就要占用一份系统资源,如 果同时接到网络上所有计算机的回应, 接收方的系统是有可能吃不消的.

DDOS攻击原理及防护方法论

DDOS攻击原理及防护方法论

DDOS攻击原理及防护方法论1. DDoS攻击原理DDoS(分布式拒绝服务)攻击是一种通过利用多个计算机或设备对目标服务器或网络发起大量请求,以消耗其资源并使其无法正常运行的攻击方式。

DDoS攻击的原理可以分为以下几个步骤:1.1 收集目标信息:攻击者首先需要收集目标服务器或网络的IP地址和其他相关信息,以便发起攻击。

1.2 招募僵尸网络:攻击者会通过恶意软件(如僵尸病毒)感染大量计算机或设备,形成一个庞大的僵尸网络,也称为“僵尸军团”。

1.3 发起攻击指令:攻击者通过控制服务器或使用特定的软件工具,向僵尸网络发送攻击指令。

1.4 攻击流量放大:僵尸网络中的计算机或设备会同时向目标服务器或网络发送大量请求,导致目标系统资源耗尽,无法正常运行。

1.5 服务拒绝:由于目标服务器或网络无法处理如此大量的请求,正常用户无法访问目标系统,从而达到拒绝服务的目的。

2. DDoS攻击防护方法论为了有效应对DDoS攻击,以下是一些常见的防护方法论:2.1 流量监测和分析:通过部署流量监测和分析系统,可以实时监测网络流量,并识别异常流量模式。

一旦检测到异常流量,系统可以自动触发防御机制。

2.2 流量过滤和清洗:使用防火墙、入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备,对进入网络的流量进行过滤和清洗。

这些设备可以根据预设规则,过滤掉恶意流量,只允许合法的流量通过。

2.3 负载均衡和弹性扩展:通过使用负载均衡器和弹性扩展技术,将流量分散到多个服务器上,以分担服务器的负载压力。

当服务器受到攻击时,可以动态调整服务器资源,确保服务的可用性。

2.4 CDN加速和反向代理:使用内容分发网络(CDN)和反向代理服务器,将用户请求分发到离用户更近的服务器上,减少对目标服务器的直接访问。

这样可以有效减轻DDoS攻击对目标服务器的影响。

2.5 流量限制和封锁:根据流量监测和分析的结果,可以对异常流量进行限制和封锁。

例如,通过配置防火墙规则,限制来自特定IP地址或特定协议的流量。

网络安全中的DDoS攻击与防范措施

网络安全中的DDoS攻击与防范措施

网络安全中的DDoS攻击与防范措施随着互联网的迅猛发展,网络安全问题日益突出。

其中,DDoS(分布式拒绝服务)攻击成为一种频繁发生的威胁,给企业和个人带来了巨大的困扰。

本文将对DDoS攻击的原理进行探讨,并介绍一些常见的防范措施。

一、DDoS攻击的原理DDoS攻击是指利用多个受控机器同时向目标服务器发送大量的请求,以致使目标服务器无法正常处理合法用户的请求,从而导致服务不可用。

DDoS攻击的原理有以下几个要点:1. 攻击者使用僵尸网络(botnet)控制大量被感染的计算机,这些计算机被称为“肉鸡”(zombie);2. 攻击者通过命令控制肉鸡同时向目标服务器发送大量的请求,耗尽目标服务器的带宽或系统资源;3. 目标服务器无法正常处理合法用户的请求,导致网络服务的中断。

二、DDoS攻击的类型DDoS攻击可以分为多种类型,每种类型都有其特定的攻击方式和防范措施。

以下是几种常见的DDoS攻击类型:1. SYN Flood攻击:攻击者发送大量TCP连接请求给目标服务器,目标服务器无法处理完所有的连接请求,导致服务不可用。

防范措施包括使用防火墙过滤掉异常的连接请求,增加系统资源以处理更多的连接请求;2. ICMP Flood攻击:攻击者发送大量的虚假ICMP回应给目标服务器,消耗目标服务器的带宽和处理能力。

防范措施包括使用网络设备过滤掉异常的ICMP回应;3. DNS Amplification攻击:攻击者利用公共的DNS服务器向目标服务器发送大量DNS查询请求,目标服务器负载过高而无法正常工作。

防范措施包括限制DNS服务器的开放递归查询权限;4. HTTP Flood攻击:攻击者通过发送大量的HTTP请求给目标服务器,占用目标服务器的带宽和系统资源。

防范措施包括使用防火墙过滤掉异常的HTTP请求,部署反向代理服务器来缓解攻击压力。

三、DDoS攻击的防范措施针对DDoS攻击,有一些有效的防范措施可以采取,帮助企业和个人保护自己的网络安全。

全面解析DDoS攻击及其防御措施

全面解析DDoS攻击及其防御措施

全面解析DDoS攻击及其防御措施DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,旨在通过向目标服务器发送大量的请求,使其无法正常响应合法用户的请求。

本文将全面解析DDoS攻击的原理和常见的防御措施。

一、DDoS攻击的原理DDoS攻击的原理是利用大量的僵尸主机(也称为“肉鸡”)向目标服务器发送大量的请求,从而耗尽目标服务器的资源,导致其无法正常响应合法用户的请求。

DDoS攻击通常分为以下几种类型:1. 带宽攻击:攻击者通过向目标服务器发送大量的数据流量,占用目标服务器的带宽资源,导致其无法正常处理合法用户的请求。

2. 连接攻击:攻击者通过向目标服务器发送大量的连接请求,占用目标服务器的连接资源,导致其无法正常处理合法用户的请求。

3. 应用层攻击:攻击者通过向目标服务器发送大量的特定请求,占用目标服务器的处理资源,导致其无法正常处理合法用户的请求。

二、DDoS攻击的防御措施为了有效应对DDoS攻击,网络管理员可以采取以下防御措施:1. 流量清洗:流量清洗是一种常见的DDoS攻击防御手段,通过在网络边界部署专门的流量清洗设备,对进入的流量进行实时监测和过滤,过滤掉异常流量,只将合法流量转发给目标服务器。

2. 负载均衡:负载均衡是一种将流量分散到多个服务器上的技术,可以有效减轻单个服务器的负载压力,提高系统的可用性。

当遭受DDoS攻击时,负载均衡设备可以将流量分散到多个服务器上,从而减轻攻击对单个服务器的影响。

3. 防火墙配置:防火墙是一种用于保护网络安全的设备,可以通过配置防火墙规则,限制对目标服务器的访问。

网络管理员可以根据实际情况,设置防火墙规则,限制来自特定IP地址或特定端口的访问请求,从而减轻DDoS攻击对目标服务器的影响。

4. CDN加速:CDN(内容分发网络)是一种将内容分发到全球各地的网络架构,可以通过将内容缓存到离用户最近的节点上,提高用户访问速度。

当遭受DDoS攻击时,CDN可以将流量分散到多个节点上,从而减轻攻击对单个服务器的影响。

网吧DDOS攻击防御详细解释(附图)

网吧DDOS攻击图解DDOS攻击:DOS攻击是拒绝服务攻击,是一对一的。

DDOS攻击是分布式拒绝服务攻击,是多对一的。

我下面要说的是内网的DDOS攻击,因为外网的DDOS攻击确实还没有人敢说可以100%搞定,具体原因,我们下面来详细的分析下。

DDOS攻击,我们又称为洪水攻击,单一或者多个机器发送大量数据包堵塞路由或服务器(无盘),那我们就要解决:核心交换机到路由和核心交换机到服务器之间的链路带宽问题。

我们先看下面的网络拓扑图:网吧的网络拓扑可以简化成以上类型(全千兆网络),DOS攻击我们可以看做是其中的一台客户机向网关路由192.168.1.1发生洪水攻击包,路由采用ROS的时候,用UDP攻击器(阿拉丁)一台机器攻击的时候,攻击流量为760M,ROS、海蜘蛛都一切正常,760M 小于核心交换机和路由器之间的总带宽1G,当192.168.1.2和192.168.1.3同时进行UDP阿拉丁攻击路由器的时候,两台机器的流量都达到760M,加起来是1520M大于1G,192.168.1.6 PING ROS、海蜘蛛已经大量丢包(不是说ROS与海蜘蛛不行,向下看)。

后来我拿了个NRN2600-07路由进行测试,因为NRN2600-07上有4个百兆LAN口,一个千兆LAN口,我用千兆LAN口接在核心交换机千兆口上,用一台笔记本接在NRN2600-07的百兆LAN 口上,下面的192.168.1.2和192.168.1.3同时攻击NRN2600-07的时候,路由器也是出现了掉包,单是接在路由器上的笔记本一个包都没掉,再次进行3台客户机,四台客户机进行阿拉丁攻击的时候,客户机192.168.1.6始终是掉包,但是笔记本192.168.1.8都没有掉包。

我们现在分析了下这个网络拓扑图,结论是并不一定是ROS、海蜘蛛,或者是一些其他的硬路由处理不了这么大的洪水流量,而是因为核心交换机到路由器之间的带宽瓶颈问题,那我们该怎么解决这样的问题呢?我走访了南京很多的网吧网管,包括一些网维商,其中包括一些在南京比较有名的技术牛人,他们说想解决DDOS攻击还真没碰到一个确实可行的方式,不管是内网还是外网。

DDOS攻击防护的基本原理PPT课件


2021
17
• 涉及参数:
– UDP保护触发 – UDP端口保护设置 – DNS Service Protection参数
2021
18
• DNS插件参数:
– 参数1:正常情况的DNS请求频率。低于该值, 插件将记录所有的DNS请求源地址
– 参数2:攻击情况的DNS请求频率。高于该值, 插件将只放行记录过的源地址
– 参数1:启用的验证模式。此值大于256,表示对所有 类型的页面进行验证
• 0, 256:不执行跳转过程 • 1, 257:生成跳转页面,由javascript执行跳转。若客户端没
有开启javascript,可以由用户手动点击 • 2, 258:上一模式的基础上,将验证代码进行表达式变换 • 3, 259:在上一模式的基础上,将javascript执行的跳转,变
– 介于上两个值之间,则只是放行数据,而不做 记录
2021
19
流量攻击防御——简单截流
• 对于某些业务无关的协议,可以使用简单 截流策略防御攻击:
– ICMP Flood – IGMP Flood – Fragment Flood – NonIP Flood
• 注意:
– IGMP攻击计入NonIP攻击
2021
16
• 我们的防御策略:
– 通过插件检测53端口的UDP数据,剔除非DNS查 询的攻击包
– 通过延时提交,强制客户端重传查询,应对某 些无法生成重传包的DNS攻击器
– 通过验证TTL,应对某些固定 TTL的DNS攻击器
– 通过重传检测算法,应对某些生成重传包的DNS 攻击器
– 可以通过插件学习正常流量时的访问IP,受到 攻击时只放行访问过的IP
2021

DDOS攻击原理和防御方式

DDOS攻击原理和防御方式一、实验目的1.理解DDOS攻击原理2.使用TFN2K发起攻击二、实验环境1.系统环境:Windows环境,kali环境2.软件环境:TFN2K三、实验原理1.DDOS攻击原理2.分布式拒绝服务攻击的英文意思是DistributedDenialofService,简称DDOS。

它利用在已经侵入并已控制的不同的高带宽主机(可能是数百,甚至成千上万台)上安装大量的DOS服务程序,他们等待来自中央攻击控制中心的命令,中央攻击控制中心适时启动全体受控主机的DOS服务进程,让它们对一个特定目标发送尽可能多的网络访问请求,形成一股DOS洪流冲击目标系统,猛烈的DOS攻击同一个网站。

在寡不敌众的力量抗衡下,被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪、崩溃。

3.DDOS攻击角色分析1.2.3.从上图可以看出,DDOS攻击分为三层:攻击者、主控端、代理端,三者在攻击中扮演者不同的角色。

4.(1)攻击者5.攻击者所用的计算机可以是网络上的任何一台计算机,甚至可以是一个活动的便携机。

攻击者操作整个攻击过程,它向主控端发送攻击命令。

6.(2)代理端7.代理端同样也是攻击者入侵并控制的一批主机,它们上面运行攻击者程序,接受和运行主控端发来的命令。

代理端主机是攻击的执行者,真正向受害者主机发送攻击。

三.DDOS攻击流程攻击者发起DDOS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。

第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。

最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。

由于攻击者在幕后操作,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。

四.TFN2K简介•TFN2K是由德国著名黑客Mixter编写的分布式拒绝服务攻击工具,是同类攻击工具TFN的后续版本。

《互联网安全课件:防御DDoS攻击》


DDoS攻击的目的
1 破坏竞争对手
攻击者可能试图通过使竞 争对手的网站或服务无法 访问来破坏其业务。
2 分散注意力
3 敲诈勒索
攻击者可能利用DDoS攻击 分散网络管理员的注意力, 以便实施其他恶意行为。
一些攻击者可能会使用 DDoS攻击作为敲诈勒索的 手段,威胁要继续攻击除 非支付赎金。
常见的DDoS攻击类型
Spamhaus的DDoS攻击
在2013年,反垃圾邮件组织 Spamhaus遭到了一次规模庞大的 DDoS攻击,其流量达到每秒 300Gbps。
Twitter的DDoS攻击
在2009年,Twitter遭受了一次大 规模DDoS攻击,导致其服务暂时 不可用。
最佳实践:保护您的网络免受DDoS攻击
网络监控
UDP Flood攻击
攻击者发送大量伪造的UDP数据包来淹没目标服 务器的带宽。
HTTP请求攻击
攻击者发送大量的HTTP请求,消耗服务器资源 并导致服务不可用。
SYN Flood攻击
攻击者发送大量伪造的SYN请求来占用目标服务 器的资源,使其无法处理正常请求。
ICMP Flood攻击
攻击者发送大量伪造的ICMP请求以占用服务器 带宽和资源。
• 实时监控流量和异常 • 定期评估网络安全性
强大的防火墙
内容分发网络
• 设置防火墙以过滤恶意流量 • 使用DDoS保护设备
• 使用CDN以分散攻击流量 • 提供更好的性能和安全性
检测和缓解DDoS攻击
1
流量过滤
2
使用防火墙或专用设备来过滤恶意流量,
只允许合法流量通过。
3
实时监控
设置实时监控系统以ห้องสมุดไป่ตู้测流量异常,并 尽早发现潜在的DDoS攻击。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

DDoS攻击原理及防护方法论(图)安全中国 更新时间:2009-10-07 00:21:33 责任编辑:夏宜热点:从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS勒索,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。

DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了12G,这样流量,甚至连专业的机房都无法抵挡。

更为严峻的是:利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链!并且,攻击者实施成本极低,在网上可以随便搜索到一大堆攻击脚本、工具工具,对攻击者的技术要求也越来越低。

相反的是,专业抗DDoS设备的价格十分昂贵,而且对于攻击源的追查难度极大,防护成本远远大于攻击成本。

本文将对DDoS攻击的原理做一个剖析,并提供一些解决方法。

一. DDoS攻击什么是DDoS?DDoS是英文Distributed Denial of "Service的缩写,意即"分布式拒绝服务",DDoS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。

首先,我们来了解一下相关定义。

"服务:系统提供的,用户在对其使用中会受益的功能"拒绝服务:任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。

"拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。

υ如图所示,DDoS攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。

这种攻击大多数是由黑客非法控制的电脑实施的。

黑客非法控制一些电脑之后,把这些电脑转变为由地下网络远程控制的“bots”,然后用这些电脑实施DDoS攻击。

黑客还以每台为单位,低价出租这些用于攻击的电脑,真正拥有这些电脑的主人并不知道自己的计算机已经被用来攻击别人。

由于有数百万台电脑现在已经被黑客变成了“bots”,因此这种攻击将非常猛烈。

被DDoS攻击时的现象:υ网络中充斥着大量的无用的数据包;υ制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;υ利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求;严重时会造成系统死机。

由于网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治成为了一个令管理员非常头痛的问题。

尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDoS攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。

二. 数据包结构要了解DDoS的攻击原理,就要首先了解一下数据包的结构,才能知根知底,追本溯源。

首先来回顾一下数据包的结构。

2.1 IP报文结构2.2 TCP报文结构"一个TCP报头的标识(code bits)字段包含6个标志位:"SYN:标志位用来建立连接,让连接双方同步序列号。

如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接"FIN:表示发送端已经没有数据要求传输了,希望释放连接。

"RST:用来复位一个连接。

RST标志置位的数据包称为复位包。

一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。

"URG:为紧急数据标志。

如果它为1,表示本数据包中包含紧急数据。

此时紧急数据指针有效。

"ACK:为确认标志位。

如果为1,表示包中的确认号时有效的。

否则,包中的确认号无效。

PSH:如果置位,接收端应尽快把数据传送给应用层, 不必等缓冲区满再发送。

2.3 UDP报文结构2.4 ICMP报文结构三. DDoS攻击方式3.1 SYN Flood攻击SYN-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。

这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。

很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,而且由于它可以方便地伪造源地址,追查起来非常困难。

它的数据包特征通常是,源发送了大量的SYN包,并且缺少三次握手的最后一步握手ACK回复。

3.1.1 原理例如,攻击者首先伪造地址对服务器发起SYN请求(我可以建立连接吗?),服务器就会回应一个ACK+SYN(可以+请确认)。

而真实的IP会认为,我没有发送请求,不作回应。

服务器没有收到回应,会重试3-5次并且等待一个SYN Time (一般30秒-2分钟)后,丢弃这个连接。

如果攻击者大量发送这种伪造源地址的SYN请求,服务器端将会消耗非常多的资源来处理这种半连接,保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。

最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。

在服务器上用netstat –an命令查看SYN_RECV状态的话,就可以看到:如果我们抓包来看:可以看到大量的SYN包没有ACK回应。

3.1.2 SYN Flood防护"目前市面上有些防火墙具有SYN "Proxy功能,这种方法一般是定每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时,防火墙就开始截取连接请求和代理回复SYN/ACK片段,并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。

当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同安全区域(zone)中所有地址的新SYN片段,避免网络主机遭受不完整的三次握手的攻击。

但是,这种方法在攻击流量较大的时候,连接出现较大的延迟,网络的负载较高,很多情况下反而成为整个网络的瓶颈;"Random Drop:随机丢包的方式虽然可以减轻服务器的负载,但是正常连接的成功率也会降低很多;"特征匹配:IPS上会常用的手段,在攻击发生的当时统计攻击报文的特征,定义特征库,例如过滤不带TCP Options 的syn 包等;早期攻击工具(例如synkiller,xdos,hgod等)通常是发送64字节的TCP SYN报文,而主机操作系统在发起TCP连接请求时发送SYN 报文是大于64字节的。

因此可以在关键节点上设置策略过滤64字节的TCP SYN报文,某些宣传具有防护SYN Flood攻击的产品就是这么做的。

随着工具的改进,发出的TCP SYN 报文完全模拟常见的通用操作系统,并且IP头和TCP头的字段完全随机,这时就无法在设备上根据特定的规则来过滤攻击报文。

这时就需要根据经验判断IP 包头里TTL值不合理的数据包并阻断,但这种手工的方法成本高、效率低。

SYN Cookie:就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。

但SYN Cookie依赖于对方使用真实的IP地址,如果攻击者利用SOCK_RAW随机改写IP报文中的源地址,这个方法就没效果了。

3.1.3 商业产品的防护算法"syn cookie/syn "proxy类防护算法:这种算法对所有的syn包均主动回应,探测发起syn包的源IP地址是否真实存在;如果该IP地址真实存在,则该IP会回应防护设备的探测包,从而建立TCP连接;大多数的国内外抗拒绝服务产品采用此类算法。

"safereset算法:此算法对所有的syn包均主动回应,探测包特意构造错误的字段,真实存在的IP地址会发送rst包给防护设备,然后发起第2次连接,从而建立TCP连接;部分国外产品采用了这样的防护算法。

syn重传算法:该算法利用了TCP/IP协议的重传特性,来自某个源IP的第一个syn包到达时被直接丢弃并记录状态,在该源IP的第2个syn包到达时进行验证,然后放行。

"综合防护算法:结合了以上算法的优点,并引入了IP信誉机制。

当来自某个源IP的第一个syn包到达时,如果该IP 的信誉值较高,则采用syncookie算法;而对于信誉值较低的源IP,则基于协议栈行为模式,如果syn包得到验证,则对该连接进入syncookie校验,一旦该IP的连接得到验证则提高其信誉值。

有些设备还采用了表结构来存放协议栈行为模式特征值,大大减少了存储量。

3.2 ACK Flood攻击3.2.1 原理ACK Flood攻击是在TCP连接建立之后,所有的数据传输TCP报文都是带有ACK标志位的,主机在接收到一个带有ACK 标志位的数据包的时候,需要检查该数据包所表示的连接四元组是否存在,如果存在则检查该数据包所表示的状态是否合法,然后再向应用层传递该数据包。

如果在检查中发现该数据包不合法,例如该数据包所指向的目的端口在本机并未开放,则主机操作系统协议栈会回应RST包告诉对方此端口不存在。

这里,服务器要做两个动作:查表、回应ACK/RST。

这种攻击方式显然没有SYN Flood给服务器带来的冲击大,因此攻击者一定要用大流量ACK小包冲击才会对服务器造成影响。

按照我们对TCP协议的理解,随机源IP的ACK小包应该会被Server很快丢弃,因为在服务器的TCP堆栈中没有这些ACK包的状态信息。

但是实际上通过测试,发现有一些TCP 服务会对ACK Flood比较敏感,比如说JSP Server,在数量并不多的ACK小包的打击下,JSP Server就很难处理正常的连接请求。

对于Apache或者IIS来说,10kpps的ACK Flood不构成危胁,但是更高数量的ACK Flood会造成服务器网卡中断频率过高,负载过重而停止响应。

可以肯定的是,ACK Flood不但可以危害路由器等网络设备,而且对服务器上的应用有不小的影响。

抓包:如果没有开放端口,服务器将直接丢弃,这将会耗费服务器的CPU资源。

如果端口开放,服务器回应RST。

3.2.2 ACK Flood防护利用对称性判断来分析出是否有攻击存在。