《【网络安全】:DDoS攻击原理是什么_怎么防御?》由会员分享,可在线阅读,更多相关《【网络安全】:DDoS攻击原理是什么_怎么防御?(6页珍藏版)》请在金锄头文库上搜索。
1、【网络安全】:DDoS 攻击原理是什么?怎么防御?随着网络时代的到来,网络安全变得越来越重要。在互联网的安全领域,DDoS(Distributed DenialofService)攻击技术因为它的隐蔽性,高效性一直是网络攻击者最青睐的攻击方式,它严重威胁着互联网的安全。那么,DDoS 攻击原理是什么 ?下面小编就为大家介绍一下相关知识点,我们一起来看看吧!DDoS 攻击原理及防护措施介绍:一、 DDoS 攻击的工作原理1.1 DDoS 的定义DDos 的前身 DoS (DenialofService)攻击,其含义是拒绝服务攻击,这种攻击行为使网站服务器充斥大量的要求回复的信息,消耗网络带宽或系
2、统资源,导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS 分布式拒绝服务,则主要利用Internet 上现有机器及系统的漏洞,攻占大量联网主机,使其成为攻击者的代理。当被控制的机器达到一定数量后,攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起 DoS 攻击,大量消耗其网络带和系统资源,导致该网络或系统瘫痪或停止提供正常的网络服务。由于 DDos 的分布式特征,它具有了比 Dos 远为强大的攻击力和破坏性。1.2 DDoS 的攻击原理如图 1 所示,一个比较完善的DDos 攻击体系分成四大部分,分别是攻击者( attacker 也可以称为 master) 、控制傀儡机 ( h
3、andler) 、攻击傀儡机 ( demon ,又可称agent) 和受害着 ( victim) 。第2 和第3 部分,分别用做控制和实际发起攻击。第2 部分的控制机只发布令而不参与实际的攻击,第3 部分攻击傀儡机上发出DDoS的实际攻击包。对第2 和第3 部分计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS 程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击愧儡机就成为攻击者去发起攻击了。之所以采用这样的结构,一个重要目的
4、是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻,因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为:1)扫描大量主机以寻找可入侵主机目标;2)有安全漏洞的主机并获取控制权;3)入侵主机中安装攻击程序;4)用己入侵主机继续进行扫描和入侵。当受控制的攻击代理机达到攻击者满意的数量时,攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机,主控机就可
5、以关闭或脱离网络,以逃避追踪要着,攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后,就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装,使被攻击者无法识别它的来源面且,这些包所请求的服务往往要消耗较大的系统资源,如CP 或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。于是,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正连接请求,
6、从而无法有效分离出攻击数据包二、 DDoS 攻击识别DDoS ( Denial of Service,分布式拒绝服务 ) 攻击的主要目的是让指定目标无注提供正常服务,甚至从互联网上消失,是目前最强大、最难防御的攻击方式之一。2.1 DDoS 表现形式DDoS 的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的政击,即通过大量攻击包导致主机的内存被耗尽或CPU 内核及应用程序占完而造成无法提供网络服务。2.2 攻击识别流量攻击识别主要有以下2 种方法:1) Pin
7、g 测试:若发现 Ping 超时或丢包严重,则可能遭受攻击,若发现相同交换机上的服务器也无法访问,基本可以确定为流量攻击。测试前提是受害主机到服务器间的 ICMP 协议没有被路由器和防火墙等设备屏蔽 ;2) Telnet 测试:其显著特征是远程终端连接服务器失败,相对流量攻击,资源耗尽攻击易判断,若网站访问突然非常缓慢或无法访问,但可Ping 通,则很可能遭受攻击,若在服务器上用Netstat-na 命令观察到大量SYN_RECEIVED 、 TIME_WAIT ,FIN_ WAIT_1 等状态,而 EASTBLISHED很少,可判定为资源耗尽攻击,特征是受害主机 Ping 不通或丢包严重而
8、Ping 相同交换机上的服务器正常,则原因是攻击导致系统内核或应用程序 CPU 利用率达 100% 无法回应 Ping 命令,但因仍有带宽,可 ping 通相同交换机上主机。三、 DDoS 攻击方式DDoS 攻击方式及其变种繁多,就其攻击方式面言,有三种最为流行的DDoS 攻击方式。3.1 SYN/ACK Flood攻击这种攻击方法是经典有效的DDoS 攻击方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源P 和源端口的 SYN 或 ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伤造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸
9、主机支持,少量的这种攻击会导致主机服务器无法访问,但却可以Ping 的通,在服务器上用Netstat-na 命令会观察到存在大量的 SYN RECEIVED状态,大量的这种攻击会导致Ping 失败, TCP/IP 栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。攻击流程如图 2 所示,正常 TCP 连接为 3 次握手,系统 B 向系统 A 发送完SYN/ACK 分组后,停在 SYN RECV 状态,等待系统 A 返回 ACK 分组 ;此时系统 B 已经为准备建立该连接分配了资源,若攻击者系统A,使用伪造源 IP ,系统 B 始终处于“半连接 ”等待状态,直至超
10、时将该连接从连接队列中清除;因定时器设置及连接队列满等原因,系统 A 在很短时间内,只要持续高速发送伪造源IP 的连接请求至系统B,便可成功攻击系统B,而系统 B 己不能相应其他正常连接请求。3.2 TCP 全连接攻击这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤 TearDrop 、Land 等 DOS 攻击的能力,但对于正常的 TCP 连接是放过的,殊不知很多网络服务程序 (如: IIS、 Apache 等 Web 服务器 )能接受的 TCP 连接数是有限的,一旦有大量的 TCP 连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问, TCP 全连接攻击
11、就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的 IP 是暴露的,因此此种DDOs 攻击方容易被追踪。3.3 TCP 刷 Script 脚本攻击这种攻击主要是针对存在ASP 、 JSP 、PHP 、CGI 等脚本程序,并调用MSSQLServer 、My SQL Server 、 Oracle 等数据库的网站系统而设计的,特征是和服务器建立正常的 TCP 连接,不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博
12、大的攻击方法。一般来说,提交一个GET 或 POST 指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy 代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP 程序失效、 PHP 连接数据库失败、数据库主程序占用CPU 偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Poxy 代理就可实施攻击,缺点是对付只有静态页
13、面的网站效果会大打折扣,并且有些代理会暴露DDOS 攻击者的 IP 地址。四、 DDoS 的防护策略DDoS 的防护是个系统工程,想仅仅依靠某种系统或产品防住DDoS 是不现实的,可以肯定的说,完全杜绝DDoS 目前是不可能的,但通过适当的措施抵御大多数的DDoS 攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御 DDoS 的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDoS 攻击。4.1 采用高性能的网络设备抗 DDoS 攻击首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候
14、要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的 DDoS 攻击是非常有效的。4.2 尽量避免 NAT 的使用无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT 的使用,除了必须使用 NAT ,因为采用此技术会较大降低网络通信能力,原因很简单,因为NAT 需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多 CPU 的时间。4.3 充足的网络带宽保证网络带宽直接决定了能抗受攻击的能力,假若仅有10M 带宽,无论采取何种措施都很难对抗现在的SYNFlood 攻击,当前至少要选择100M 的共享带宽 ,1000M 的带宽会更好,但需要注意的是,主机上的网卡是1000M 的并不意味着它的网络带宽就是千兆的,若把它接在100M 的交换机上,它的实际带宽不会超过100M ,再就是接在100M 的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制
