8144 
2023-05-28 11:44:01 在互聯(lián)網(wǎng)時代網(wǎng)站最頭痛的就是被攻擊,常見DDOS攻擊方式有很多。DDOS是目前最強大,也是最難防御的攻擊方式之一。所以不少用戶在受到DDOS攻擊的時候就不知道要怎么辦。今天我們就一起來學(xué)習(xí)下關(guān)于什么是DDOS攻擊的相關(guān)知識。
DDOS攻擊方式
1、SYN Flood攻擊
是當(dāng)前網(wǎng)絡(luò)上最為常見的DDOS攻擊,它利用了TCP協(xié)議實現(xiàn)上的一個缺陷。通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊報文,就可能造成目標(biāo)服務(wù)器中的半開連接隊列被占滿,從而阻止其他合法用戶進行訪問。
2、UDP Flood攻擊
屬于日漸猖獗的流量型DDOS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或者Radius認證服務(wù)器、流媒體視頻服務(wù)器。由于UDP協(xié)議是一種無連接的服務(wù),在UDPFlood攻擊中,攻擊者可發(fā)送大量偽造源IP地址的小UDP包。
3、ICMP Flood攻擊
屬于流量型的攻擊方式,是利用大的流量給服務(wù)器帶來較大的負載,影響服務(wù)器的正常服務(wù)。由于目前很多防火墻直接過濾ICMP報文。因此ICMPFlood出現(xiàn)的頻度較低。
4、Connection Flood攻擊
是典型的利用小流量沖擊大帶寬網(wǎng)絡(luò)服務(wù)的攻擊方式,這種攻擊的原理是利用真實的IP地址向服務(wù)器發(fā)起大量的連接。并且建立連接之后很長時間不釋放,占用服務(wù)器的資源,造成服務(wù)器上殘余連接過多,效率降低,甚至資源耗盡,無法響應(yīng)其他客戶所發(fā)起的鏈接。
5、HTTP Get攻擊
主要是針對存在ASP、JSP、PHP、CGI等腳本程序,特征是和服務(wù)器建立正常的TCP連接,并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用。它可以繞過普通的防火墻防護,通過Proxy代理實施攻擊,缺點是攻擊靜態(tài)頁面的網(wǎng)站效果不佳,會暴露攻擊者的lP地址。
6、UDP DNS Query Flood攻擊
采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求,通常請求解析的域名是隨機生成或者是網(wǎng)絡(luò)世界上根本不存在的域名。域名解析的過程給服務(wù)器帶來了很大的負載,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名超時。
什么是DDOS攻擊?
DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務(wù),而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務(wù)的意思。
不過這3中攻擊方法最厲害的還是DDoS,那個DRDoS攻擊雖然是新近出的一種攻擊方法,但它只是DDoS攻擊的變形,它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的,所以對它們的防御辦法都是差不多的。
DoS攻擊是最早出現(xiàn)的,它的攻擊方法說白了就是單挑,是比誰的機器性能好、速度快。但是現(xiàn)在的科技飛速發(fā)展,一般的網(wǎng)站主機都有十幾臺主機,而且各個主機的處理能力、內(nèi)存大小和網(wǎng)絡(luò)速度都有飛速的發(fā)展,有的網(wǎng)絡(luò)帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什么作用了,搞不好自己的機子就會死掉。舉個這樣的攻擊例子,假如你的機器每秒能夠發(fā)送10個攻擊用的數(shù)據(jù)包,而被你攻擊的機器(性能、網(wǎng)絡(luò)帶寬都是頂尖的)每秒能夠接受并處理100攻擊數(shù)據(jù)包,那樣的話,你的攻擊就什么用處都沒有了,而且非常有死機的可能。要知道,你若是發(fā)送這種1Vs1的攻擊,你的機器的CPU占用率是90%以上的,你的機器要是配置不夠高的話,那你就死定了。
不過,科技在發(fā)展,黑客的技術(shù)也在發(fā)展。正所謂道高一尺,魔高一仗。經(jīng)過無數(shù)次當(dāng)機,黑客們終于又找到一種新的DoS攻擊方法,這就是DDoS攻擊。它的原理說白了就是群毆,用好多的機器對目標(biāo)機器一起發(fā)動DoS攻擊,但這不是很多黑客一起參與的,這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器,他是通過他的機器在網(wǎng)絡(luò)上占領(lǐng)很多的“肉雞”,并且控制這些“肉雞”來發(fā)動DDoS攻擊,要不然怎么叫做分布式呢。還是剛才的那個例子,你的機器每秒能發(fā)送10攻擊數(shù)據(jù)包,而被攻擊的機器每秒能夠接受100的數(shù)據(jù)包,這樣你的攻擊肯定不會起作用,而你再用10臺或更多的機器來對被攻擊目標(biāo)的機器進行攻擊的話,嘿嘿!結(jié)果我就不說了。
DRDoS分布反射式拒絕服務(wù)攻擊這是DDoS攻擊的變形,它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領(lǐng)大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近,不過DRDoS是可以在廣域網(wǎng)上進行的,而Smurf攻擊是在局域網(wǎng)進行的。它的作用原理是基于廣播地址與回應(yīng)請求的。一臺計算機向另一臺計算機發(fā)送一些特殊的數(shù)據(jù)包如ping請求時,會接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請求包,實際上會到達網(wǎng)絡(luò)上所有的計算機,這時就會得到所有計算機的回應(yīng)。這些回應(yīng)是需要被接收的計算機處理的,每處理一個就要占用一份系統(tǒng)資源,如果同時接到網(wǎng)絡(luò)上所有計算機的回應(yīng),接收方的系統(tǒng)是有可能吃不消的,就象遭到了DDoS攻擊一樣。
不過是沒有人笨到自己攻擊自己,不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播地址發(fā)送請求包,所有的計算機得到請求后,卻不會把回應(yīng)發(fā)到黑客那里,而是發(fā)到被攻擊主機。這是因為黑客冒充了被攻擊主機。黑客發(fā)送請求包所用的軟件是可以偽造源地址的,接到偽造數(shù)據(jù)包的主機會根據(jù)源地址把回應(yīng)發(fā)出去,這當(dāng)然就是被攻擊主機的地址。黑客同時還會把發(fā)送請求包的時間間隔減小,這樣在短時間能發(fā)出大量的請求包,使被攻擊主機接到從被欺騙計算機那里傳來的洪水般的回應(yīng),就像遭到了DDoS攻擊導(dǎo)致系統(tǒng)崩潰。
ddos攻擊隨著技術(shù)的發(fā)現(xiàn)也在不斷更新,DDOS攻擊方式也在變化。不過隨著科技的進步,類似DDOS攻擊這樣一對一的攻擊很容易防御。所以在面對不同類型的DDOS攻擊也應(yīng)該做出不同的應(yīng)對措施。
