什么是DoS/DDoS攻击?

  • 网络攻击行为既包括对整个网络的攻击,也包括对网络中的服务器、防火墙、路由器等单个节点的攻击。根据攻击方法实现的不同,可以分为主动攻击和被动攻击两种类型。

  • 主动攻击指攻击者为了实现攻击目的,主动对需要访问的信息系统进行非授权的访问行为。主动攻击一般可以分为中断、篡改和伪造3种类型。其中,拒绝服务是最常见的中断攻击方式。

  • DoS Denial of Service 拒绝服务攻击
    利用目标系统网络服务功能缺陷或直接消耗其系统资源,使得该目标无法提供正常的服务。

  • DDoS Distributed Denial of Service 分布式拒绝服务攻击
    在传统的DoS攻击基础上产生的一类攻击方式,它利用互联网的分布式特征,将分散的攻击源集中后向目标主机同时发起攻击。

  • 单一的DoS攻击一般采用一对一的方式,当攻击目标主机的CPU利用率提高、内存减少或网络带宽变小时,可能发生了DoS/DDoS攻击。
    ps:网络带宽指在单位时间(一般指的是1秒钟)内能传输的数据量。 网络和高速公路类似,带宽越大,就类似高速公路的车道越多,其通行能力越强。

  • 随着计算机与网络技术的发展,计算机的处理能力日益增强,内存空间明显增加,也出现了万兆级别甚至更高带宽的网络,这使得DoS攻击的困难程度增大。这时候就到DDoS上场了。简单来说DDoS是利用更多的傀儡机发起进攻,以比从前更大的规模进攻受害者。
    接下来介绍DoS拒绝服务攻击的五种方式:

  1. Smurf攻击
    Smurf攻击结合了IP欺骗和ICMP回复方法,通过产生大量的ICMP应答数据包,导致被攻击主机网络发生拥堵。
    Smurf的攻击过程如下:攻击者首先确定一个与互联网相联的同时拥有大量主机的网络(某一IP网段),然后向该网络的广播地址(如201.10.129.255)发送一个欺骗性Ping分组(echo请求分组),这个目标网络被称为反弹站点,而欺骗性Ping分组的源地址就是攻击者已确定的被攻击系统。被确定的IP网段中的所有主机在收到Ping分组后,都会向欺骗性Ping分组的IP地址(被攻击系统)发送echo响应报文。如果目标网络拥有较大的IP地址段,就会产生大量的echo响应报文,被攻击的目标很快就会被大量的echo响应报文吞没,从而引起DDoS攻击。
  • 名词解释
    IP欺骗 黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
    ICMP 互联网信息控制协议,用于实现链路连通性测试和链路追踪,可以实现链路差错报告,属于UDP协议。ICMP泛洪攻击是最常用的DOS(拒绝服务攻击)之一,顾名思义,就是对目标主机发送洪水般的ping包,使得目标主机忙于处理ping包而无能力处理其他正常请求,造成目标主机无法给其他主机提供服务,从而达到攻击的目的。如果ping包足够多,甚至会造成目标主机资源消耗殆尽而造成宕机。
  1. Land攻击
    当客户端尝试与服务器建立TCP连接时,正常情况下客户端与服务器需要交换一系列信息。
    (1)客户端通过发送SYN同步报文到服务器,请求建立连接。
    (2)服务器响应客户端SYN-ACK,以响应ACK请求。
    (3)客户端应答ACK,TCP会话连接建立。
    以上过程,即TCP三次握手,它是每个TCP连接建立时首先要完成的操作。
    在Land攻击中,攻击者利用一个特殊构造的SYN报文,该报文的源地址和目标地址都被设置成被攻击对象的地址,然后采用该SYN报文进行攻击。Land攻击将导致被攻击对象向自己的地址发送SYN-ACK报文,结果这个地址又发回ACK报文并创建一个空连接,每一个这样的连接都将保留直到超时,以此消耗资源。
  2. Teardrop攻击
    Teardrop攻击是利用UDP的错误分片数据包实现攻击过程。Teardrop攻击的实现原理为:攻击者向被攻击对象发送多个经过事先构造的分片IP数据报,每个经过分片的数据报中包含该分片属于哪个原始数据报,以及在原始数据报中的位置等信息。由于互联网中的路由器对IP分片不会进行重组,被分片后IP数据的重组在目标主机上完成。攻击者如果通过精心设计,将一个原始IP数据报分片成多个IP分片,而且IP分片之间存在重叠的“段位移”,当某些操作系统收到含有重叠“段位移”的IP分片时将会出现系统崩溃、重启等现象。
    关于重叠的解释假设原始数据报中的第三个IP分片的“段位移”小于第二个IP分片结束的“段位移”,而且加上第三个IP分片中的数据,也未超过第二个IP分片的尾部,这就在第二个分片与第三个IP分片之间产生了重叠。
  3. Ping of Death攻击
    即通常所讲的“死亡之Ping”。这种攻击利用绝大多数网络设备和系统所支持的网络连通性测试功能,利用Ping工具提供的可动态调整ICMP报文大小的特征,攻击者向被攻击对象发送大于65 536B的ICMP报文,使被攻击对象的操作系统崩溃。
    通常情况下,Ping工具不可以发送大于65 536B的ICMP报文,但可以把该ICMP报文分割成多个IP分片,然后再目标主机上重组。在分片重组过程中导致被攻击目标缓冲区溢出,引起拒绝服务攻击。
  4. SYN Flood攻击
    SYN Flood攻击利用TCP三次握手实现,攻击者使用无效IP地址向被攻击主机发送大量伪造源地址的TCP SYN报文,被攻击主机在收到该TCP SYN报文后,会分配必要的资源,然后向源地址返回SYN-ACK报文,并等待源主机返回ACK报文。如果伪造的源地址主机处于活跃状态,将会返回一个RST报文直接关闭连接,但大部分伪造源地址是非活跃的,这种情况下源地址永远无法返回ACK报文,被攻击主机继续发送SYN-ACK报文,并将半开连接放入端口的积压队列中,虽然一般的主机都有超时机制和默认的重传次数,但是由于端口半连接队列的长度有限,如果不断地向被攻击主机发送大量的TCP SYN报文,半开连接队列就会很快填满,被攻击主机也就拒绝新的连接,导致该端口无法响应其他客户端进行的正常连接请求,最终使被攻击主机被拒绝服务。
posted @ 2022-08-22 00:06  CUHKSZ丶Travis  阅读(486)  评论(0)    收藏  举报