1.什么是DOS攻擊
首先注意這里是DOS(Denial Of Service)攻擊,並非DoS。DoS是微軟早期的系統版本。
DoS即Denial Of Service,拒絕服務的縮寫。DoS是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中並不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。要知道任何事物都有一個極限,所以總能找到一個方法使請求的值大於該極限值,因此就會故意導致所提供的服務資源匱乏,表面上好象是服務資源無法滿足需求。所以千萬不要自認為擁有了足夠寬的帶寬和足夠快的服務器就有了一個不怕DoS攻擊的高性能網站,拒絕服務攻擊會使所有的資源變得非常渺小。
常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等
2.什么是DDOS攻擊
傳統上,攻擊者所面臨的主要問題是網絡帶寬,由於較小的網絡規模和較慢的網絡速度的限制,攻擊者無法發出過多的請求。雖然類似"the ping of death"的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統,但大多數的DoS攻擊還是需要相當大的帶寬的,而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點,DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求,這就是DDoS攻擊。DDoS(Distributed Denial Of Service)又把DoS又向前發展了一大步。
雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重於通過很多“僵屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之為“洪水式攻擊”。
常見的DDOS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等
3.兩者異同
不同點:
DDoS與DoS的最大區別是人多力量大。
DoS是一台機器攻擊目標,DDoS是被中央攻擊中心控制的很多台機器利用他們的高帶寬攻擊目標,可更容易地將目標網站攻下。另外,DDoS攻擊方式較為自動化,攻擊者可以把他的程序安裝到網絡中的多台機器上,所采用的這種攻擊方式很難被攻擊對象察覺,直到攻擊者發下統一的攻擊命令,這些機器才同時發起進攻。可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,現在這種方式被認為是最有效的攻擊形式,並且非常難以抵擋。
相同點:
無論是DoS攻擊還是DDoS攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收並處理外界請求,或無法及時回應外界請求。其具體表現方式有以下幾種:
1.制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。
2.利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。
3.利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處於掛起狀態甚至死機。