分布式拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊中常見的攻擊方式。分布式拒絕服務(wù)攻擊(DDoS)是指不同位置的多個攻擊者同時攻擊一個或多個目標,或者一個攻擊者控制不同位置的多臺機器,并使用這些機器同時攻擊受害者。由于攻擊點分布在不同的地方,這種攻擊稱為分布式拒絕服務(wù)攻擊,其中可以有多個攻擊者。
1.UDP Flood:UDP協(xié)議是一種無連接服務(wù)。在UDP Flood中,攻擊者通常會發(fā)送大量偽造源IP地址的小UDP數(shù)據(jù)包來攻擊DNS服務(wù)器、Radius認證服務(wù)器和流媒體視頻服務(wù)器。10萬bps的UDP Flood經(jīng)常會癱瘓線路上的骨干設(shè)備,比如防火墻,造成整個網(wǎng)段癱瘓。上述傳統(tǒng)流量攻擊方式技術(shù)含量低,造成1000人受傷,800人自損。攻擊效果通常取決于被控主機本身的網(wǎng)絡(luò)性能,很容易找到攻擊源,因此單獨使用并不常見。于是出現(xiàn)了四兩千磅效果的反射式放大攻擊。
2.CC攻擊:CC攻擊是目前應(yīng)用層的主要攻擊手段之一,利用代理服務(wù)器產(chǎn)生指向目標系統(tǒng)的合法請求,實現(xiàn)偽裝和DDOS。我們都有這樣的經(jīng)歷。訪問一個靜態(tài)頁面不需要太長時間,即使人很多。但是,如果你訪問論壇、貼吧等。高峰時期會非常慢,因為服務(wù)器系統(tǒng)需要去數(shù)據(jù)庫判斷訪客是否有權(quán)限看帖子、說話等。訪問量越大,論壇的頁面越多,對數(shù)據(jù)庫的壓力越大,被訪問的頻率越高,占用的系統(tǒng)資源也相當可觀。CC攻擊充分利用了這一特性,模擬很多正常用戶不斷訪問論壇等需要大量數(shù)據(jù)操作的頁面,造成服務(wù)器資源的浪費。CPU長時間處于100%,總是有無窮無盡的請求需要處理。網(wǎng)絡(luò)擁塞,正常訪問被暫停。這種攻擊技術(shù)含量高,看不到真實的源IP和異常流量,而服務(wù)器就是無法正常連接。
3.SYN Flood:這是一種利用TCP協(xié)議的缺陷,發(fā)送大量偽造的TCP連接請求,從而使被攻擊方資源耗盡(CPU已滿或內(nèi)存不足)的攻擊方法。建立TCP連接需要三次握手——客戶端發(fā)送SYN消息,服務(wù)器接收請求并返回消息表示接受,客戶端也返回確認完成連接。SYN Flood是指用戶在向服務(wù)器發(fā)送消息后突然崩潰或掉線,因此服務(wù)器在發(fā)送回復消息后無法收到客戶端的確認消息(第一次三次握手無法完成)。此時,服務(wù)器通常會重試并等待一段時間,然后丟棄未完成的連接。服務(wù)器的一個線程因為用戶的異常而等待一段時間并不是什么大問題,但是惡意攻擊者大量模擬這種情況,服務(wù)器為了維持幾萬個半連接,消耗了大量資源,結(jié)果往往忙得顧不上客戶的正常請求,甚至崩潰。從正常客戶的角度來看,網(wǎng)站反應(yīng)遲鈍,無法訪問。
4.DNS Query Flood:作為互聯(lián)網(wǎng)的核心服務(wù)之一,DNS也是DDOS攻擊的主要目標。DNS Query Flood使用的方法是操縱大量傀儡機,向目標服務(wù)器發(fā)送大量域名解析請求。當服務(wù)器收到域名解析請求時,會先查找服務(wù)器上是否有對應(yīng)的緩存,如果找不到且無法直接解析域名,會遞歸向其上層DNS服務(wù)器查詢域名信息。通常,攻擊者請求的域名是隨機生成的,或者根本不存在于網(wǎng)絡(luò)中。由于在本地找不到相應(yīng)的結(jié)果,服務(wù)器必須使用遞歸查詢將解析請求提交給上層域名服務(wù)器,造成連鎖反應(yīng)。解析過程給服務(wù)器帶來了很大的負載,當域名解析請求數(shù)超過每秒一定數(shù)量時,DNS服務(wù)器就會超時。根據(jù)微軟的統(tǒng)計,一臺DNS服務(wù)器可以承受的動態(tài)域名查詢上限是每秒9000個請求。然而,一臺P3 PC每秒可以輕松構(gòu)造上萬個域名解析請求,足以癱瘓一臺硬件配置極高的DNS服務(wù)器,由此可見DNS服務(wù)器的脆弱性。
5.ICMP Flood:ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)用于在IP主機和路由器之間傳輸控制消息。控制消息指的是網(wǎng)絡(luò)本身的消息,比如網(wǎng)絡(luò)是否無法通行,主機是否可達,路由是否可用等。雖然它不傳輸用戶數(shù)據(jù),但它在用戶數(shù)據(jù)傳輸中起著重要的作用。通過向目標系統(tǒng)發(fā)送大量數(shù)據(jù)包,目標主機可能會癱瘓。如果發(fā)送大量數(shù)據(jù)包,將成為洪水攻擊。
6.混合攻擊:實際情況中,攻擊者只想打敗對方。到目前為止,高級攻擊者不再傾向于使用單一的攻擊手段進行戰(zhàn)斗,而是根據(jù)目標系統(tǒng)的具體環(huán)境發(fā)動多種攻擊手段,不僅流量大,而且利用協(xié)議和系統(tǒng)的缺陷盡可能多地發(fā)動攻勢。對于被攻擊的目標,需要面對不同協(xié)議和資源的分布式攻擊,因此分析、響應(yīng)和處理的成本會大大增加。
7.NTP Flood:NTP是基于UDP協(xié)議傳輸?shù)臉藴示W(wǎng)絡(luò)時間同步協(xié)議。由于UDP協(xié)議的無連接特性,偽造源地址非常方便。攻擊者使用特殊數(shù)據(jù)包,即IP地址指向服務(wù)器作為反射器,源IP地址偽造為攻擊目標的IP。反射器收到數(shù)據(jù)包時被騙,響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標,耗盡了目標網(wǎng)絡(luò)的帶寬資源。一般NTP服務(wù)器帶寬較大,攻擊者可能僅用1Mbps的上傳帶寬欺騙NTP服務(wù)器,可給目標服務(wù)器帶來數(shù)十萬Mbps的攻擊流量。因此,反射攻擊可以使用“問答”協(xié)議。通過將質(zhì)詢數(shù)據(jù)包的地址偽造為目標的地址,所有回復數(shù)據(jù)包都將被發(fā)送到目標。一旦協(xié)議具有遞歸效應(yīng),流量就會顯著放大,這可以稱之為“不暢”流量攻擊。有不懂的請咨詢夢飛云idc了解。
