分布式拒绝服务(Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
工作原理
拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
DDOS(分布式拒绝服务):凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。 也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。
虽然同样是拒绝服务攻击,但是DDOS 和DOS 还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包, 从而造成网络阻塞或服务器资源耗尽而导致拒绝服务, 分布式拒绝服务攻击一旦被实施, 攻击网络包就会犹如洪水般涌向受害主机, 从而把合法用户的网络包淹没, 导致合法用户无法正常访问服务器的网络资源, 因此, 拒绝服务攻击又被称之为 “洪水式攻击” ,常见的 DDOS 攻击手段有 SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood 等;
DOS 则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、 主机死机而无法提供正常的网络服务功能, 从而造成拒绝服务, 常见的 DOS 攻击手段有 T earDrop、 Land、 Jolt、 IGMP Nuker、 Boink、 Smurf、 Bonk、OOB 等。
就这两种拒绝服务攻击而言,危害较大的主要是 DDOS 攻击,原因是很难防范,至于 DOS 攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范DDOS 的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞, 合法网络包被虚假的攻击包淹没而无法到达主机; 另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU 被内核及应用程序占完,造成的无法提供网络服务。
分类
按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。
- 基于ARP。ARP是无连接的协议,当收到攻击者发送来的ARP应答时。它将接收ARP应答包中所提供的信息。更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力。产生拒绝服务,如ARP重定向攻击。
- 基于ICMP。攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。
- 基于IP。TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃。如Teardrop是基于IP的攻击。
- 基于应用层。应用层包括SMTP,HTTP,DNS等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源。
<script type="text/javascript">
$(function () {
$('pre.prettyprint code').each(function () {
var lines = $(this).text().split('\n').length;
var $numbering = $('<ul/>').addClass('pre-numbering').hide();
$(this).addClass('has-numbering').parent().append($numbering);
for (i = 1; i <= lines; i++) {
$numbering.append($('<li/>').text(i));
};
$numbering.fadeIn(1700);
});
});
</script>
分享到:
相关推荐
进入2000年以来,网络遭受攻击事件不断发生,全球许多著名网站如...取而代之的是,在一定时间内,彻底使被攻击的网络丧失正常服务功能,这种攻击手法为 DDoS,即分布式拒绝服务攻击(Distributed denial of service )。
详细介绍了分布式拒绝服务攻击的步骤,及预防
分布式拒绝服务攻击,更好的了解DDos攻击,对网络安全了解!
研究了分布式拒绝服务(DDoS) 攻击的特点,定义了流连接密度( FCD) 的概念,并证明了FCD 时间序 列的非平稳特性. 据此,提出了一种新的基于时频分析的自动检测DDoS 攻击的方法,该方法采用平滑魏格 纳2维利分布对FCD 时间...
cc DDOS分布式拒绝服务攻击 不用肉机 收集代理就可以发挥巨大的攻击
分布式拒绝服务DDoS攻击核心技术研究.pdf
拒绝服务攻击(Denial of Service,DoS)是网络上最常见的一种攻击方式,其攻击类型繁多、影响广泛,其中的分布式拒绝服务攻击(Distributed Denial of Service,DDoS)更是严重威胁网络安全,受到这种攻击的损失是无法...
分布式拒绝服务攻击研究综述
应用层分布式拒绝服务攻击检测模型,谢逸,余顺争,随着攻击者所拥有的网络资源与技术的不断增长, 分布式拒绝服务(Distributed Denial of Service, DDoS)攻击对现代网络安全形成了新的挑战. 传统�
分布式拒绝服务攻击(DDoS)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的机器对某一台单机发起攻击,在带宽相对的情况下,被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式,...
分布式拒绝服务攻击(DDoS)原理与防范完整版[借鉴].pdf
将分布式拒绝服务攻击视作一种可观察行动的多阶段不完全信息博弈,给出了该博弈的 扩展型表示,提出为了达到该博弈的完美贝叶斯均衡,需解决局中人类型的信念计算及修正问题. 作为观点的实践,提出一种根据访问速率以及...
DDoS(分布式拒绝服务)攻击是一种网络攻击,旨在通过将大量无效请求发送到目标服务器或网络上,使其超负荷运行,最终导致服务不可用或降级。 这种攻击类型的目标通常是网络基础设施、网站、服务器或网络服务,旨在...
一种分布式的DDoS攻击防御系统模型的研究,邹存强,,分布式拒绝服务攻击(DDoS)是最主要的网络安全威胁之一,具有很强的破坏力,难以防范。本文在研究现有防御机制的基础上,提出一��
以网络应用为主营业务的企业应该寻求更好的防火墙对自身进行防护,尤其是针对分布式拒绝服务攻击(DDOS 超越80%网络攻击是针对网络应用顺序的而传统的防护措施,中国战斧网络科技公司表示。诸如服务器周边的防火墙...
DDoS攻击下的IP追踪技术,分布式拒绝服务……
DDoS 是英文 Distributed Denial of Service 的缩写,意即“分布式拒绝服务”
本文选择一个网络安全问题进行仔细分析,即分布式拒绝服务攻击(“DDOS”)。 本文重点介绍 DDOS 攻击,因为它们从法律角度来看非常有趣。 在这种情况下,网络安全投资的正外部性问题就很明显了,在 DDOS 攻击中以...
分布式拒绝服务攻击(DDoS)是一种攻击,其中,特洛伊木马入侵的多个系统被恶意用来攻击单个系统。 攻击导致目标系统上的某些服务被拒绝。 在DDoS攻击中,目标系统和用于执行攻击的系统都是攻击的受害者。 受感染的...