1. 首頁 > 生活百科 > >

淺析DDoS的攻擊及防御 怎樣預防ddos攻擊( 二 )

ddos


但是這種直接方式通常依靠受控主機本身的網絡性能 , 所以效果不是很好 , 還容易被查到攻擊源頭 。 于是反射攻擊就出現 , 攻擊者使用特殊的數據包 , 也就是IP地址指向作為反射器的服務器 , 源IP地址被偽造成攻擊目標的IP , 反射器接收到數據包的時候就被騙了 , 會將響應數據發送給被攻擊目標 , 然后就會耗盡目標網絡的帶寬資源 。
2、攻擊系統
創建TCP連接需要客戶端與服務器進行三次交互 , 也就是常說的“三次握手” 。 這個信息通常被保存在連接表結構中 , 但是表的大小有限 , 所以當超過了存儲量 , 服務器就無法創建新的TCP連接了 。
攻擊者就是利用這一點 , 用受控主機建立大量惡意的TCP連接 , 占滿被攻擊目標的連接表 , 使其無法接受新的TCP連接請求 。 如果攻擊者發送了大量的TCP SYN報文 , 使服務器在短時間內產生大量的半開連接 , 連接表也會被很快占滿 , 導致無法建立新的TCP連接 , 這個方式是SYN洪水攻擊 , 很多攻擊者都比較常用 。
點擊重新加載
3、攻擊應用
由于DNS和Web服務的廣泛性和重要性 , 這兩種服務就成為了消耗應用資源的分布式拒絕服務攻擊的主要目標 。
比如向DNS服務器發送大量查詢請求 , 從而達到拒絕服務的效果 , 如果每一個DNS解析請求所查詢的域名都是不同的 , 那么就有效避開服務器緩存的解析記錄 , 達到更好的資源消耗效果 。 當DNS服務的可用性受到威脅 , 互聯網上大量的設備都會受到影響而無法正常使用 。
近些年 , Web技術發展非常迅速 , 如果攻擊者利用大量的受控主機不斷地向Web服務器惡意發送大量HTTP請求 , 要求Web服務器處理 , 就會完全占用服務器資源 , 讓正常用戶的Web訪問請求得不到處理 , 導致拒絕服務 。 一旦Web服務受到這種攻擊 , 就會對其承載的業務造成致命的影響 。
4、混合攻擊
在實際的生活中 , 乖哦概念采訪人員并不關心自己使用的哪種攻擊方法管用 , 只要能夠達到目的 , 一般就會發動其所有的攻擊手段 , 盡其所能的展開攻勢 。 對于被攻擊目標來說 , 需要面對不同的協議、不同資源的分布式拒絕服務攻擊 , 分析、響應和處理的成本就會大大增加 。
隨著僵尸網絡向著小型化的趨勢發展 , 為降低攻擊成本 , 有效隱藏攻擊源 , 躲避安全設備 , 同時保證攻擊效果 , 針對應用層的小流量慢速攻擊已經逐步發展壯大起來 。 因此 , 從另一個角度來說 , DDoS攻擊方面目前主要是兩個方面:UDP及反射式大流量高速攻擊、和多協議小流量及慢速攻擊 。
也說說DDoS的攻擊工具
國人比較講究:工欲善其事必先利其器 。 隨著開源的DDoS工具撲面而來 , 網絡攻擊變得越來越容易 , 威脅也越來越嚴重 。 工具有很多 , 簡單介紹幾款知名的 , 讓大家有個簡單了解 。
LOIC
LOIC低軌道離子炮 , 是一個最受歡迎的DOS攻擊的淹沒式工具 , 會產生大量的流量 , 可以在多種平臺運行 , 包括Linux、Windows、Mac OS、Android等等 。 早在2010年 , 黑客組織對反對維基解密的公司和機構的攻擊活動中 , 該工具就被下載了3萬次以上 。
LOIC界面友好 , 易于使用 , 初學者也可以很快上手 。 但是由于該工具需要使用真實IP地址 , 現在Anonymous已經停用了 。
HULK (HTTP Unbearable Load King)
點擊重新加載
HULK是另一個DOS攻擊工具 , 這個工具使用UserAgent的偽造 , 來避免攻擊檢測 , 可以通過啟動500線程對目標發起高頻率HTTP GET FLOOD請求 , 牛逼的是每一次請求都是獨立的 , 可以繞過服務端的緩存措施 , 讓所有請求得到處理 。 HULK是用python語言編寫 , 對獲得源碼進行更改也非常方便 。
R.U.D.Y.
R-U-Dead-Yet是一款采用慢速HTTP POST請求方式進行DOS攻擊的工具 , 它提供了一個交互式控制臺菜單 , 檢測給定的url , 并允許用戶選擇哪些表格和字段應用于POST-based DOS攻擊 , 操作非常簡單 。

推薦閱讀