拒绝服务攻击综述
拒绝服务攻击,英文:Denial of Service Attack(DoS)。主要针对两种目标的攻击,一是系统漏洞,二是系统资源。前者通过系统更新、修补漏洞等可以有效地解决,但后者则难以解决。
历年的DoS攻击事件
- 2000.02,Yahoo网站受到DDoS攻击瘫痪3个小时。
- 2006.03,ICANN报道了DDoS攻击流量达到214G。
- 2007年,爱沙尼亚政府被迫封禁国外IP访问。
- DDoS攻击以46%的比例位居第一位。
DDoS攻击的四个基本要素
- 幕后攻击者
- 僵尸网络
- 攻击机群
- 受害者
DDoS攻击的分类(按包类型)
- 网络传输层攻击:包括SYNFlood,ICMPFlood,UDPFlood和IP包分片Flood。
- 应用层攻击:包括HTTPFlood,如MyDoom蠕虫,SIPFlood,DNS请求Flood;资源占用攻击,以及利用SMTP,SSL,VPN等进行攻击,P2P网络中的DDoS攻击。
DDoS攻击的分类(按攻击效果)
- 传输层攻击以消耗攻击者网络带宽为目的。
- 应用层攻击以消耗CPU,内存,数据库等计算资源为目的。
主要DDoS攻击的形式以及比例
| 攻击类型 | 比例 | |||
| 1 | UDPFlood | 43% | ||
| 2 | 应用层 | 19% | ||
| 3 | TCP SYN | 18% | ||
| 4 | 反射 | 7% | ||
| 5 | ICMPFlood | 5% | ||
| 6 | IP分片 | 4% | ||
| 7 | 其他 | 4% | ||
DDoS攻击存在的原因
- Internet是一个开发资源的共享系统,理论上Internet上任一节点可以发送数据包到任一目的节点,目的节点可以自行决定数据包的响应情况,但无法控制外界发向自己的数据包。
- Internet设计的基本原则是核心简单和边缘复杂,核心网络仅仅提供数据包的转发工作,并不验证数据包的合法性
正是由于这两个促使Internet飞速发展的原则,导致了DDoS攻击的兴起。目前核心网络的带宽已经达到OC2192(10Gbps),而接入带宽一般小于1Gbs。
DDoS攻击解决方案分类
- 流量检测,区分正常和攻击流量。
- 限制攻击流量,让攻击流量无法达到受害者。
方案2的思路主要包含3中:1)在不修改核心网络的前提下,ISP联合起来过滤攻击流量。2)重新设计Internet,在核心网络中增加数据包验证机制。3)采用CDN或重叠网络来分散攻击流量。
解决方案主要包括:
- 源头,IP源地址欺骗和僵尸网络问题。
- 追踪,源地址追踪,找出实际攻击者,给予法律的惩罚。
- 攻击检测,对各种行为特征进行检测。
- 校验,???。
- 网络过滤,ISP过滤。
- 网络功能,???。
- 重叠网络和CDN
- 其他。
