发布日期:2021-02-26 15:35:49
游览量:29
作者:谷尼软件
DDoS攻击的原理是什么?随着Internet时代的到来,网络安全变得越来越重要。在Internet安全领域,DDoS(分布式拒绝服务)攻击技术由于其隐蔽性和高效性,一直是网络攻击者最流行的攻击方法,严重威胁着Internet的安全。在下一篇文章中,编辑者将介绍DDoS攻击的原理,表现形式和防御策略。希望对您有帮助。
DDoS攻击原理和防护措施简介
1. DDoS攻击如何工作
1.1 DDoS的定义
DDos的前身,即DoS(DenialofService)攻击,意味着拒绝服务攻击。这种攻击行为使网站服务器上充斥着大量请求答复的信息,消耗了网络带宽或系统资源,并导致网络或系统过载,并停止提供正常的网络。服务。 DDoS分布式拒绝服务主要利用Internet上现有机器和系统的漏洞来捕获大量网络主机,并使它们成为攻击者的代理。当受控机器的数量达到一定数量时,攻击者会发送指令以操纵这些攻击机器,同时在目标主机或网络上发起DoS攻击,这会消耗大量的网络带宽和系统资源,从而导致网络或系统瘫痪或停止提供正常网络。服务。由于DDos具有分布式特性,因此它比Dos具有更强的攻击能力和破坏力。
1.2 DDoS攻击原理
如图1所示,一个相对完整的DDos攻击系统分为四个部分,即攻击者(攻击者也可以称为主控者),控制木偶机(处理程序),攻击木偶机(守护程序,也称为代理)和受害者。第2部分和第3部分分别用于控制和实际攻击。第二部分中的控制计算机仅发出命令,不参与实际攻击,第三部分中的控制计算机攻击木偶计算机上的实际DDoS攻击程序包。对于计算机的第二部分和第三部分,攻击者可以控制或部分控制,并将相应的DDoS程序上载到这些平台。这些程序像普通程序一样运行,并等待攻击者的指示。通常,它还使用各种方法来隐藏自己,使其不被他人发现。在平时,这些木偶戏没有什么不同通常,仅当攻击者连接到他们以控制和发出指令后,攻击者便成为发起攻击的攻击者。
图1分布式拒绝服务攻击体系结构
采用这种结构的原因是为了隔离网络连接,并在攻击进行过程中保护攻击者不受监视系统的跟踪。同时,由于攻击执行者太多,可以更好地协调攻击,同时,系统发布命令会导致控制系统网络拥塞,影响攻击的突然性和协调性。而且,流量的突然增加很容易暴露出攻击者的位置和意图。整个过程可以分为:
1)扫描大量主机以找到可入侵的主机目标;
2)具有安全漏洞和获得控制权的主机;
3)在入侵主机上安装攻击程序;
4)使用入侵的主机继续扫描和入侵。
当受控攻击代理的数量达到攻击者的满意程度时,攻击者可以随时通过攻击主计算机来发出攻击指令。由于攻击主服务器的位置非常灵活,并且发出命令的时间非常短,因此定位非常隐蔽。一旦将攻击命令发送到攻击机械手,就可以关闭主控制机或将其与网络断开连接以避免跟踪,并且攻击机械手将向每个攻击代理发出命令。攻击代理收到攻击命令后,开始向目标主机发送大量服务请求报文。这些数据包是伪装的,因此被攻击者无法识别其来源,这些数据包所请求的服务通常会消耗大量的系统资源,例如CP或网络带宽。如果数百甚至数千个攻击代理同时攻击目标,则将导致目标主机的网络和系统资源用尽,从而停止服务。有时,它甚至可能导致系统崩溃。
另外,这还会阻塞目标网络的防火墙和路由器等网络设备,从而进一步加剧网络拥塞。因此,目标主机根本无法向用户提供任何服务。攻击者使用的协议是一些非常常见的协议和服务。这样,系统管理员很难区分恶意请求和肯定连接请求,因此不能有效地分离攻击包。
2. DDoS攻击识别
DDoS(拒绝服务,分布式拒绝服务)攻击的主要目的是允许指定目标在不引起任何注意的情况下提供正常服务,甚至从Internet上消失。它是目前最强大,最难防御的武器。攻击方法之一。
2.1 DDoS表现
DDoS有两个主要表现。一种是流量攻击,主要是对网络带宽的攻击,即大量的攻击报文导致网络带宽被阻塞,合法的网络报文被虚假的攻击报文淹没,无法到达主机。另一种是资源耗尽攻击,主要是对服务器主机的政治攻击,即大量的攻击报文导致主机内存耗尽或CPU核心和应用程序耗尽,导致无法提供网络资源。服务。
2.2攻击识别
识别流量攻击的主要方法有两种:
1)Ping测试:如果发现Ping超时或严重的数据包丢失,则可能会受到攻击。如果发现同一交换机上的服务器也无法访问,则可以将其基本上确定为流量攻击。测试的前提是,受害主机和服务器之间的ICMP协议不会被路由器和防火墙之类的设备阻止。
(2)Telnet测试:其区别在于远程终端无法连接服务器,更容易判断相对流量攻击和资源耗尽攻击。如果网站访问突然突然变慢或无法访问,但可以ping通,则很可能受到攻击。在Netstat-na命令上,观察到大量SYN_RECEIVED,TIME_WAIT,FIN_WAIT_1和其他状态,并且EASTBLISHED很少,可以确定为资源耗尽攻击。特点是受害主机无法ping通或数据包丢失严重,并且同一交换机上的服务器可以正常ping通。原因是该攻击导致系统内核或应用程序CPU利用率达到100%,并且无法响应Ping命令,但是由于仍有带宽,因此可以对同一台交换机上的主机执行ping操作。
三,DDoS攻击方法
DDoS攻击方法及其变种很多。就其攻击方法而言,有三种最受欢迎的DDoS攻击方法。
3.1 SYN / ACK Flood攻击
这种攻击方法是一种经典而有效的DDoS攻击方法,它可以通过将大量伪造的源P和源端口的SYN或ACK数据包发送到受害主机,从而杀死主机的缓存资源,从而杀死各种系统的网络服务。精疲力尽或忙于发送响应数据包导致拒绝服务。由于源是由伤害引起的,因此很难跟踪。缺点是难以实现,需要高带宽僵尸主机的支持。少量此类攻击将导致主机服务器不可用。您可以在服务器上使用Netstat-na命令来观察是否存在大量的SYN RECEIVED状态。大量此类攻击将导致Ping故障,TCP / IP堆栈故障和系统冻结。 ,它不响应键盘和鼠标。普通防火墙通常无法抵抗此类攻击。
攻击过程如图2所示。正常的TCP连接是3次握手。系统B向系统A发送SYN / ACK报文后,停止在SYN RECV状态,等待系统A返回ACK报文。这时,系统B准备建立连接已分配的资源。如果攻击者系统A使用伪造的源IP,则系统B将始终处于“半连接”等待状态,直到超时时间从连接队列中清除连接为止;否则,系统B将始终处于“半连接”等待状态。由于计时器设置和连接队列已满,等等。在短时间内,系统A可以成功攻击系统B,只要它继续以高速向系统B和系统B发送带有伪造源IP的连接请求。不能再响应其他普通连接请求。
图2 SYN Flooding攻击流程
3.2 TCP全连接攻击
此类攻击旨在绕过常规防火墙的检查。通常情况下,大多数常规防火墙都具有过滤DOS攻击(如TearDrop和Land)的能力,但它们会忽略常规的TCP连接。许多网络服务程序(例如IIS,Apache和其他Web服务器)可以接受的TCP连接的数量是有限的。一旦存在大量TCP连接,即使它们正常连接,也将非常缓慢地访问该网站,甚至无法访问该网站。 TCP完全连接攻击是通过许多僵尸进行的。主机与受害服务器不断建立大量TCP连接,直到服务器的内存和其他资源用尽,并拖拉服务器端为止,从而导致拒绝服务。这种攻击的特征是它可以绕过常规防火墙的保护来达到攻击目的。缺点必须找到很多僵尸主机,并且由于僵尸主机的IP是公开的,因此这种DDO的攻击者很容易被跟踪。
3.3 TCP脚本脚本攻击
此攻击主要针对具有脚本程序(例如ASP,JSP,PHP,CGI等)和调用数据库(例如MSSQL Server,My SQL Server,Oracle等)的网站系统。特征是和服。服务器建立正常的TCP连接,并向消耗大量数据库资源的脚本程序连续提交查询和列表。典型的攻击方法小而广泛。一般来说,通过提交GET或POST命令对客户端的消耗和带宽使用几乎可以忽略不计,并且服务器可能必须从成千上万的记录中找出一条记录才能处理此请求。该处理过程资源消耗巨大。常见的数据库服务器很少支持同时执行数百个查询命令,但这对客户端来说很容易。因此,攻击者只需要通过Proxy代理向主机服务器提交大量邮件。查询命令将在短短几分钟内消耗服务器资源,并导致拒绝服务。常见的现象是网站像蜗牛一样慢,ASP程序失败,PHP与数据库的连接失败,并且数据库主程序占用较高的CPU。这种攻击的特征是它可以完全绕过普通的防火墙保护,并且很容易找到一些Poxy代理来进行攻击。缺点是将大大减少仅包含静态页面的网站的影响,并且某些代理将暴露DDOS攻击者的IP地址。
四,DDoS防护策略
DDoS保护是一项系统工程。仅依靠某个系统或产品来阻止DDoS是不现实的。可以肯定地说,目前不可能完全消除DDoS,但是可以通过适当的措施抵抗大多数DDoS攻击。这是根据攻击和防御的成本来完成的。如果通过适当的方法增强了抵御DDoS的能力,则意味着攻击者的攻击成本将增加,并且绝大多数攻击者将无法继续。放弃等同于成功抵抗DDoS攻击。
4.1使用高性能网络设备
Anti-DDoS攻击必须首先确保网络设备不会成为瓶颈。因此,在选择路由器,交换机,硬件防火墙和其他设备时,请尝试选择具有较高声誉和良好声誉的产品。此外,最好与网络提供商建立特殊关系或达成协议。当发生大量攻击时,要求他们限制网络点的流量以抵抗某些类型的DDoS攻击非常有效。
4.2尽量避免使用NAT
无论是路由器还是硬件保护墙设备,都必须避免使用网络地址转换NAT,但必须使用NAT除外,因为使用此技术将大大减少网络网络通信能力的原因很简单,因为NAT需要来回转换地址,并且在转换过程中需要计算网络数据包的校验和,这会浪费大量的CPU时间。
4.3保证足够的网络带宽
网络带宽直接决定了抵御攻击的能力。如果只有10M带宽,则无论采取什么措施,都很难与当前的SYNFlood攻击作斗争。目前,至少应选择100M共享带宽。 1000M带宽会更好,但是需要注意,主机上的1000M网卡并不意味着其网络带宽为千兆位。如果连接到100M交换机,则其实际带宽不会超过100M,然后再连接到100M带宽。上述内容并不意味着存在100M的带宽,因为网络服务提供商可能会将交换机上的实际带宽限制为10M。
4.4升级主机服务器硬件
在保证网络带宽的前提下,尝试改善硬件配置。为了有效地应对每秒100,000个SYN攻击数据包,服务器配置至少应为:P4 2.4G / DDR512M / SCSI-HD,而关键作用主要是CPU和内存,内存必须选择DDR高速内存,硬盘应该尽可能选择SCSI,以确保较高且稳定的硬件性能,否则将付出较高的性能代价。
4.5将网站设为静态页面
许多事实证明,使网站尽可能地静态,不仅可以大大提高反攻击能力,而且还给黑客带来很多麻烦。到目前为止,还没有HTML溢出,新浪,搜狐,网易这样的门户网站,主要是静态页面。
此外,最好拒绝在需要调用数据库的脚本中使用代理进行访问,因为经验表明,使用代理访问我们网站的80%是恶意的。
五,总结
DDoS攻击不断发展,变得越来越强大,秘密,更具针对性和更加复杂。它已成为对Internet安全的主要威胁。同时,随着系统的更新,新的系统漏洞继续出现。 DDoS攻击技能的提高也增加了DDoS保护的难度。有效地应对这种攻击是一项系统工程。它不仅需要技术人员探索保护手段,而且网络用户还必须具有抵御网络攻击的基本意识和保护手段。将技术手段和人员素质结合在一起可能是最好的最大化网络保护的有效性。
以上是小编带给您的DDoS攻击原理是什么? DDoS攻击的原理和保护措施的介绍,希望对您有所帮助,有空的时候朋友可以进入谷尼软件网站,我们的网站上还有更多其他信息正在等待您的朋友发掘!
潍坊谷尼软件技术服务有限公司17年行业经验、服务企业5000家,知名企业近160家。谷尼信天翁是山东网站制作机构,是山东企业"互联网+";"移动营销"品牌。执行供给侧改革的网络企业。咨询热线:13188831521TAG标签:DDoS , 路由器 , 防火墙 , 未注明作者或来源均属原创文章,转载请注明:转自 谷尼软件
摘要:处于信息时代,人们对网页设计提出更多要求,但网页设计的艺术性、目的性、时代感并不突出,与宣传需要严重不符。对此,应根据实际设计要求,合理运用图像分割、图像编码压缩等图像处理技术,确保最佳网页设计效果。空间域处理阵列较大的图像,计算量也会随之增加;对此,借助沃尔什变换、傅立叶变换等多种图像
摘要:借助计算机程序,通过相应的设计、分析、建模和执行等一系列手段,将设计者所要表达的信息通过互联网展示出来,最终用户所浏览到的界面通常是图形的形式,这即是网页设计。换句话说,网页设计的目的便是产生用户所需要的网站以供浏览和阅读。通常来说,文字,图片以及表格这些简单的信息都可以放置到网站页面上。而矢
摘要:在ASP的开发过程中,基本不能在Unix等一系列的服务器上运行,而只能在微软的服务器产品中运行。然而,JSP在Apache的支持下,可以实现在Unix、Linux等其他很多操作系统中运行。除此之外,JSP是JAVA的一部分,使得它还具有只需编写一次,就能随时使用的特点。这个特点实地能够实现跨平台的移植,相对其他潍坊网站建设动
摘要:由于不同网站的配置、运行情况很不相同,所以监听网站前先要读取XML文件初始化参数,包括监听的网站目录、禁止上传的文件类型、日志位置、上传文件所在目录、发送短信参数等。监听工具服务程序使用Java的JNotify组件进行监控,程序运行后调用监控类,监控类继承于JNotifyListener接口,需要开发者重写fileRenamed、fi
摘要:随着互联网技术的迅速发展,人们越来越习惯于从各种网站获取信息,而网站作为信息传递的载体,其性能与服务方式对用户浏览体验极为重要。在新媒体技术的影响下,网络UI设计自然成为用户浏览体验的重要因素。UI是用户界面的简称,合理的UI设计可以通过软件操作呈现出舒适化与简单化,给人以美感。传统的网页设计都是通
摘要:当前社会信息技术高速发达,为了提高企业服务效率,为顾客提供最佳服务体验,企业都会建立专门的企业网站,这类网站将介绍企业基本信息、最新产品参数以及企业发展规划、人才招聘等信息。而网站的建立将成为企业壮大、发展的关键,因此为了提高企业网站的运行效率,在网站开发初期,需要针对网页搜索引擎做出优化,既
摘要:以前的搜索引擎主要根据内容与关键词匹配度来排名,关键词出现的频率将成为搜索引擎数据排名的重要参考依据。而随着引擎算法的提升,排序思想逐渐被淘汰,当下排序开始采用链接分析技术,针对链接分析排序算法而言,可以减少垃圾,也可以有效减少人为信息干预,提高数据的准确率。结构层可以突出信息的层次性,因此,
可是,他们却忽枧了为自己的企业建一个网站。在网络时代的今日,一个企业有没有自己的网站和一个公司的领导有没有手刺相同重要。一个中小型企业树立一个网站的必要性,咱们将从以下几点叙说。一、树立一个网站费用也比其它广告方法要低的多。如企业在报纸上做广告,半个版面,几天时刻就要花掉几十万。当然,网站和广告是两