DoS攻击概述

  • DoS是 Denial of Service 的简称,即拒绝服务,造成拒绝服务的攻击行为被称为DoS攻击。
  • 拒绝服务攻击是指一个用户占据了大量资源的共享资源,使系统没有剩余的资源给其他用户提供服务的一种攻击方式。
  • 这种攻击方式可以出现在任何一个平台之上。
  • 常见的DoS攻击:计算机网络带宽攻击(以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过)和连通性攻击(用大量的连接请求冲击计算机,使得所有可用的操作系统都被消耗殆尽,最终计算机无法再处理合法用户的请求)。
  • 主要使用的攻击方法有 TCP SYN Flood、UDP Flood、Smurf 等。

DoS攻击方法

  • TCP SYN Flood

最常见又最容易被利用的一种攻击手法。在TCP/IP协议中,TCP协议提供可靠的连接服务,当用户进行一次标准的TCP连接时,采用三次握手建立一个连接。首先是客户端发送一个SYN消息,服务器端收到SYN后,会向客户端回送一个SYN-ACK表示确认,当客户端收到SYN-ACK后,再次向服务器端发送一个ACK消息,这样,一次TCP连接建立成功。但是TCP SYN Flood在实现过程中只进行前两个步骤:当服务器收不到ACK回应;于是,服务器端会在一定时间内处于等待客户端ACK消息的状态。对于服务器来说,由于需要分配一定的资源给每一个等待的连接,因此可以用的TCP连接是有限的。如果恶意攻击短时间内发送大量的此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,甚至会导致服务器的系统崩溃。

  • UDP Flood

UDP Flood攻击是基于网络带宽的拒绝服务攻击的一种。UDP是一种无连接的协议,而且它不需要任何程序建立连接来传输数据。当攻击者随机地向受害系统的端口发送UDP数据包的时候,就可能发生了UDP Flood攻击。当受害系统接收到一个UDP数据包时,如果攻击数据包的目的端口在受害系统中没用应用程序开放,它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者系统发送了足够多的UDP数据包,网络可用带宽迅速缩小,导致正常的连接不能进入。

DDoS 攻击

  • DDoS 是 (Distributed Denial of Service)的简称,即分布式拒绝服务攻击。
  • DDoS利用分布式网络环境,对单一DoS攻击实施的一种有效放大。
  • 分布式拒绝服务攻击就是利用 DoS攻击方式(如 SYN Flood),通过大量的主机同时攻击某一个目标,使目标消耗大量的系统资源从而无法正常工作。用来实施分布式拒绝服务攻击的著名程序有:TFN2K、Trinoo、Stacheldraht 等。
  • 攻击者发起 DDoS 攻击
    • 第一步,就是寻找在internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,那么他的攻击队伍就越壮大!
    • 第二步,在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,另一部分主机充当攻击的代理端,
    • 最后,各部分主机各司其职,在攻击者的调遣下对攻击者发起攻击。(由于攻击者在幕后操纵,所以在攻击时不会受监控系统的跟踪,身份不容易被发现。)
  • 追踪 DDoS 攻击者
    • 攻击者使用的代理端越多,就越会留下更多的蛛丝马迹,即使攻击者对占领的代理端进行清理以掩盖踪迹,但是由于代理机往往数量巨大,清理日志实在是一项庞大的工程,导致代理端清理地不很干净,通过 它上面的线索便可以找到它的上一级计算机,通过这个方法可以逐级搜寻,直至找到真正的攻击者!
12-04 15:19