DDoS前世今生 攻击原理与防御方法解析

安全 数据安全
DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务。

DoS 攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service 的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。

   不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。

DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。

这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。要知道,你若是发送这种1Vs1的攻击,你的机器的 CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。   

图-01 DoS攻击

  不过,科技在发展,黑客的技术也在发展。正所谓道高一尺,魔高一丈。经过无数次当机,黑客们终于又找到一种新的DoS攻击方法,这就是DDoS攻击。

它的原理说白了就是群殴,用好多的机器对目标机器一起发动DoS攻击,但这不是很多黑客一起参与的,这种攻击只是由一名黑客来操作的。这名黑客不 是拥有很多机器,他是通过他的机器在网络上占领很多的“肉鸡”,并且控制这些“肉鸡”来发动DDoS攻击,要不然怎么叫做分布式呢。

还是刚才的那个 例子,你的机器每秒能发送10攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被 攻击目标的机器进行攻击的话,嘿嘿!结果我就不说了。   

图-02 DDOS攻击

   DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和 Smurf攻击原理相近,不过DRDoS是可以在广域网上进行的,而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。

一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得 到所有计算机的回应。

这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系 统是有可能吃不消的,就象遭到了DDoS攻击一样。

不过是没有人笨到自己攻击自己,不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址 发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是发到被攻击主机。

这是因为黑客冒充了被攻击主机。黑客发送请求包所用的软 件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击主机的地址。

黑客同时还会把发送请求包的时间间隔减小 ,这样在短时间能发出大量的请求包,使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应,就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机,这就是Smurf攻击。

而DRDoS攻击正是这个原理,黑客同样利用特殊的发包工具,首 先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据 TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。

同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这 些回应而瘫痪。   

图-03 DRDoS分布反射式拒绝服务攻击

解释:

 SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,ACK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分 Connection Request和Connection Accepted。

RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。

ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。TCP三次握手:

图-04 TCP三次握手

假设我们要准备建立连接,服务器正处于正常的接听状态。

第一步:我们也就是客户端发送一个带SYN位的请求,向服务器表示需要连接,假设请求包的序列号为10,那么则为:SYN=10,ACK=0,然后等待服务器 的回应。

第二步:服务器接收到这样的请求包后,查看是否在接听的是指定的端口,如果不是就发送RST=1回应,拒绝建立连接。如果接收请求包,那么服务器 发送确认回应,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据回应给我们。

向我们表示,服务器连接已经准备好了,等待我们的确认。这时我们接收到回应后,分析得到的信息,准备发送确认连接信号到服务器。

第三步:我们发送确认建立连接的信息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。这样我们的连接就建立起来了。

DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击,SYN-Flood也就是SYN洪水攻击。SYN- Flood不会完成TCP三次握手的第三步,也就是不发送确认连接的信息给服务器。

这样,服务器无法完成第三次握手,但服务器不会立即放弃,服务器会不停的重试并等待一定的时间后放弃这个未完成的连接,这段时间叫做SYN timeout,这段时间大约30秒-2分钟左右。

若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟 并不是什么大不了的问题,但是若有人用特殊的软件大量模拟这种情况,那后果就可想而知了。

一个服务器若是处理这些大量的半连接信息而消耗大量的 系统资源和网络带宽,这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了,这种攻击 就叫做:SYN-Flood攻击。

到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住 DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:

1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。

2。关闭不必要的服务。

3。限制同时打开的SYN半连接数目。

4。缩短SYN半连接的time out 时间。

5。正确设置防火墙

禁止对主机的非开放服务的访问,限制特定IP地址的访问,启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问,运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。

6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。

7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。

8。路由器,以Cisco路由器为例,Cisco Express Forwarding(CEF),使用unicast reverse-path ,访问控制列表(ACL)过滤,设置SYN数据包流量速率,升级版本过低的ISO ,为路由器建立log server ,能够了解DDoS攻击的原理,对我们防御的措施在加以改进,我们就可以挡住一部分的DDoS攻击,知己知彼,百战不殆嘛。

【编辑推荐】

  1. 网络管理员对付DDoS攻击的绝招分享
  2. 网络如何应对DDoS攻击
  3. 深入分析利用反弹技术进行DDoS攻击
责任编辑:王文文 来源: 比特网
相关推荐

2015-05-18 13:51:08

2012-11-30 14:54:48

2012-02-14 09:43:08

2012-11-30 15:37:10

2016-09-29 22:54:55

2010-10-25 12:10:39

2011-03-01 10:52:15

2021-12-21 23:21:16

DDOS防御安全

2012-11-30 15:23:32

2018-11-02 12:37:53

DDos攻击信息安全攻击

2015-07-23 10:18:45

2011-07-30 13:01:23

2011-08-12 16:06:01

2013-05-23 13:40:48

OpenStackKVM区别

2010-09-27 08:46:53

2010-09-16 20:54:21

2017-11-24 11:38:05

2018-07-12 07:21:34

点赞
收藏

51CTO技术栈公众号