分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助於客戶/服務器技術,將多個計算機聯合起來作為攻擊平台,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鍾內激活成百上千次代理程序的運行。
小編通過一個簡單的例子來說明一下什么叫DDOS攻擊,比如把網站服務器看成一家超市,總共可以容納500人購物,正常情況下可能都到不了500人,因為人員是在流動,有人進來購物,同時還有人結賬結束購物。但是這個時候DDOS來了,DDOS雇佣了1000個不明情況的人來搗亂,這時候超市就變成了人擠人,正常的顧客根本無法購買超市的東西,也就是說服務器會出現大量的掉包現象可以說服務器基本屬於無法訪問。DDOS的危害:網站無法訪問、消耗大量帶寬、內存,處理方法無非就那么幾種:
1,拿出你的money,買帶寬;
2,封ip,寧可錯“殺”一千,不可放過一個;
3,找出來誰干的,弄丫的(提醒:不要違法哦)
如果網站比較小的站長基本就是沒辦法,DDOS一般都是來勢洶洶,基本不給你反應的時間,大量的流量突然涌進你的網站,根本無法預知。
DDoS攻擊科普
DDoS的攻擊原理,往簡單說,其實就是利用TCP/UDP協議規律,通過占用協議棧資源或者發起大流量擁塞,達到消耗目標機器性能或者網絡的目的,下面我們先簡單回顧TCP“三次握手”與“四次揮手”以及UDP通信流程。
TCP三次握手與四次揮手
TCP建立連接:三次握手
1.client: syn
2.server: syn+ack
3.client: ack
TCP斷開連接:四次揮手
1.client: fin(Finish)
2.server: ack 確認字符
3.server: fin
4.client: ack
UDP通信流程
根據上圖可發現,UDP通信是無連接、不可靠的,數據是直接傳輸的,並沒有協商的過程。
攻擊原理與攻擊危害
按照攻擊對象的不同,將攻擊原理和攻擊危害的分析分成3類,分別是攻擊網絡帶寬資源、應用以及系統。
攻擊網絡帶寬資源:
ICMP是(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議族的一個子協議,用於在IP主機、路由器之間傳遞控制消息。控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然並不傳輸用戶數據,但是對於用戶數據的傳遞起着重要的作用。
UDP(User Datagram Protocol)協議全稱是用戶數據報協議 [1] ,在網絡中它與TCP協議一樣用於處理數據包,是一種無連接的協議。在OSI模型中,在第四層——傳輸層,處於IP協議的上一層。UDP有不提供數據包分組、組裝和不能對數據包進行排序的缺點,也就是說,當報文發送之后,是無法得知其是否安全完整到達的。UDP用來支持那些需要在計算機之間傳輸數據的網絡應用。
DNS(Domain Name System,域名系統),萬維網上作為域名和IP地址相互映射的一個分布式數據庫,能夠使用戶更方便的訪問互聯網,而不用去記住能夠被機器直接讀取的IP數串。通過域名,最終得到該域名對應的IP地址的過程叫做域名解析(或主機名解析)。DNS協議運行在UDP協議之上,使用端口號53。
簡單網絡管理協議(SNMP Simple Network Management Protocol ),由一組網絡管理的標准組成,包含一個應用層協議(application layer protocol)、數據庫模型(database schema)和一組資源對象。該協議能夠支持網絡管理系統,用以監測連接到網絡上的設備是否有任何引起管理上關注的情況。該協議是互聯網工程工作小組(IETF,Internet Engineering Task Force)定義的internet協議簇的一部分。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬件平台,因此SNMP受Internet標准網絡管理框架的影響也很大。SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
NTP是網絡時間協議(Network Time Protocol),它是用來同步網絡中各個計算機的時間的協議。
攻擊系統資源:
攻擊應用資源:
DDoS防護科普
攻擊防護原理
從TCP/UDP協議棧原理介紹DDoS防護原理:
DoS即Denial of Service拒絕服務攻擊,DDoS即Distributed Denial of Service分布式拒絕服務攻擊。
DRDoS:即Distributed Reflect Denial of Service分布式反射拒絕服務攻擊,是指利用路由器、服務器等設施對請求產生應答,從而反射攻擊流量並隱藏攻擊來源的一種分布式拒絕服務攻擊技術。與Dos、DDoS不同,方式是發送大量帶有被害者IP的數據包給攻擊主機,攻擊主機對IP源做大量回應。與DDoS不同在於不需要大量的“肉機”;攻擊原理與Smurf攻擊類似,但DRDoS可在廣域網進行而Smurf攻擊只能在局域網進行。原理為偽造源地址的SYN包發送給其他主機,這些主機會向源IP發SYN/ACK包從而導致拒絕服務。
僵屍網絡是那些受感染計算機所組成的網絡,攻擊者可以遠程控制每一台機器來執行惡意指令。
轉自:
https://blog.csdn.net/ski_12/article/details/78686832
https://blog.csdn.net/qq_38461232/article/details/81490835