4605 
2023-05-18 10:55:01 DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù)的響應(yīng)。那么抗ddos設(shè)備的工作原理是什么呢?黑客是如何組織一次DDoS攻擊?今天快快小編就帶大家全面了解下關(guān)于DDoS攻擊。
DDoS攻擊是什么
DDoS攻擊全名為分布式拒絕服務(wù)攻擊,是攻擊者將多臺受控制的計算機聯(lián)合起來向目標(biāo)計算機同時發(fā)起攻擊,讓目標(biāo)主機系統(tǒng)資源耗盡,使其停止服務(wù)甚至崩潰。同時還可阻塞目標(biāo)網(wǎng)絡(luò),使其無法為用戶提供服務(wù)。
DDoS攻擊常見處理辦法
1、預(yù)防:隱藏服務(wù)器或目標(biāo)主機的真實IP地址,避免真實IP直接暴露在互聯(lián)網(wǎng),成為不法分子的攻擊目標(biāo);
2、自建:架設(shè)專業(yè)防護DDoS攻擊的網(wǎng)絡(luò)安全設(shè)備,通過設(shè)置防護策略對發(fā)生的DDoS攻擊進行處置,主要通過設(shè)置異常流量清洗閾值、源認(rèn)證、攻擊特征匹配、首包校驗重傳等方式實現(xiàn)安全防護;
3、購買服務(wù):根據(jù)線網(wǎng)流量的情況,可以考慮選購國內(nèi)某些運營商或云清洗供應(yīng)商提供的抗DDoS服務(wù),借助服務(wù)提供商既有的DDoS攻擊防護能力,保護自身業(yè)務(wù)穩(wěn)定可靠運行。
抗ddos設(shè)備的工作原理是什么?
DDoS(分布式拒絕服務(wù))通常是指黑客通過控制大量互聯(lián)網(wǎng)上的機器(通常稱為僵尸機器),在瞬間向一個攻擊目標(biāo)發(fā)動潮水般的攻擊。大量的攻擊報文導(dǎo)致被攻擊系統(tǒng)的鏈路被阻塞、應(yīng)用服務(wù)器或網(wǎng)絡(luò)防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施資源被耗盡,無法為用戶提供正常業(yè)務(wù)訪問。
針對流行的DDoS攻擊(包括未知的攻擊形式),綠盟科技經(jīng)過10年多不間斷的技術(shù)創(chuàng)新和產(chǎn)品研發(fā),自2001年推出首款百兆防護綠盟抗拒絕服務(wù)系統(tǒng)(NSFOCUS Anti-DDoS System,簡稱NSFOCUS ADS)后,持續(xù)推出針對不同行業(yè)的各類抗DDoS產(chǎn)品。綠盟抗拒絕服務(wù)攻擊系統(tǒng)能夠及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量,針對攻擊類型迅速對攻擊流量進行攔截,保證正常流量的通過。系統(tǒng)具備如下優(yōu)勢:
可防護各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接耗盡等常見的攻擊行為;
智能防御。借助內(nèi)嵌的“智能多層識別凈化矩陣”,實現(xiàn)基于行為異常的攻擊檢測和過濾機制,而不依賴于傳統(tǒng)的特征字(或指紋)匹配等方式;提供完備的異常流量檢測、攻擊防御、設(shè)備管理、報表生成、增值運營等功能;
支持靈活的部署方式。產(chǎn)品支持包括串聯(lián)、串聯(lián)集群、旁路以及旁路集群等不同部署方式。旁路部署下支持多種路由協(xié)議進行流量的牽引和回注,滿足各種復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署需求。
海量防御。通過方案設(shè)計,可以組成N*10Gbps以上海量攻擊防御能力的系統(tǒng)。
產(chǎn)品型號豐富。既有面向中小企業(yè)用戶開發(fā)的“攻擊檢測、攻擊防御和監(jiān)控管理”一體化產(chǎn)品,也可以提供適合運營商、IDC、大型企業(yè)用戶應(yīng)用需求的產(chǎn)品套件綜合解決方案。
單一的DoS攻擊一般是采用一對一方式的,當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高它的效果是明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機的處理能力迅速增長,內(nèi)存大大增加,同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了 - 目標(biāo)對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包,但我的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產(chǎn)生什么效果。
這時侯分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發(fā)起進攻,以比從前更大的規(guī)模來進攻受害者。
高速廣泛連接的網(wǎng)絡(luò)給大家?guī)砹朔奖悖矠镈DoS攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時代時,黑客占領(lǐng)攻擊用的傀儡機時,總是會優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機器,因為經(jīng)過路由器的跳數(shù)少,效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發(fā)起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
一個比較完善的DDoS攻擊體系分成四大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別,對第4部分的受害者來說,DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的,第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機,黑客有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運行并等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時,這些傀儡機器并沒有什么異常,只是一旦黑客連接到它們進行控制,并發(fā)出指令的時候,攻擊傀儡機就成為害人者去發(fā)起攻擊了。
有的朋友也許會問道:"為什么黑客不直接去控制攻擊傀儡機,而要從控制傀儡機上轉(zhuǎn)一下呢?"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不愿意被捉到(我在小時候向別人家的雞窩扔石頭的時候也曉得在第一時間逃掉,呵呵),而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后,高水平的攻擊者會首先做兩件事:1. 考慮如何留好后門(我以后還要回來的哦)!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了,頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反,真正的好手會挑有關(guān)自己的日志項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。
但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機弄得不是很干凈,通過它上面的線索找到了控制它的上一級計算機,這上級的計算機如果是黑客自己的機器,那么他就會被揪出來了。但如果這是控制用的傀儡機的話,黑客自身還是安全的。控制傀儡機的數(shù)目相對很少,一般一臺就可以控制幾十臺攻擊機,清理一臺計算機的日志對黑客來講就輕松多了,這樣從控制機再找到黑客的可能性也大大降低。
黑客是如何組織一次DDoS攻擊的?
這里用"組織"這個詞,是因為DDoS并不象入侵一臺主機那樣簡單。一般來說,黑客進行DDoS攻擊時會經(jīng)過這樣的步驟:
1. 搜集了解目標(biāo)的情況
下列情況是黑客非常關(guān)心的情報:
被攻擊目標(biāo)主機數(shù)目、地址情況
目標(biāo)主機的配置、性能
目標(biāo)的帶寬
對于DDoS攻擊者來說,攻擊互聯(lián)網(wǎng)上的某個站點,如 ,有一個重點就是確定到底有多少臺主機在支持這個站點,一個大的網(wǎng)站可能有很多臺主機利用負(fù)載均衡技術(shù)提供同一個網(wǎng)站的www服務(wù)。以yahoo為例,一般會有下列地址都是提供 服務(wù)的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要進行DDoS攻擊的話,應(yīng)該攻擊哪一個地址呢?使66.218.71.87這臺機器癱掉,但其他的主機還是能向外提供www服務(wù),所以想讓別人訪問不到 的話,要所有這些IP地址的機器都癱掉才行。在實際的應(yīng)用中,一個IP地址往往還代表著數(shù)臺機器:網(wǎng)站維護者使用了四層或七層交換機來做負(fù)載均衡,把對一個IP地址的訪問以特定的算法分配到下屬的每個主機上去。這時對于DDoS攻擊者來說情況就更復(fù)雜了,他面對的任務(wù)可能是讓幾十臺主機的服務(wù)都不正常。
所以說事先搜集情報對DDoS攻擊者來說是非常重要的,這關(guān)系到使用多少臺傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2臺主機需要2臺傀儡機的話,攻擊5臺主機可能就需要5臺以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少臺主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
但在實際過程中,有很多黑客并不進行情報的搜集而直接進行DDoS的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網(wǎng)管員一樣,是不能偷懶的。一件事做得好與壞,態(tài)度最重要,水平還在其次。
2. 占領(lǐng)傀儡機
黑客最感興趣的是有下列情況的主機:
鏈路狀態(tài)好的主機
性能好的主機
安全管理水平差的主機
這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS并列的攻擊方式。簡單地說,就是占領(lǐng)和控制被攻擊的主機。取得最高的管理權(quán)限,或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。對于一個DDoS攻擊者來說,準(zhǔn)備好一定數(shù)量的傀儡機是一個必要的條件,下面說一下他是如何攻擊并占領(lǐng)它們的。
首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器,象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結(jié)果。隨后就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網(wǎng)上有很多關(guān)于這些內(nèi)容的文章。
總之黑客現(xiàn)在占領(lǐng)了一臺傀儡機了!然后他做什么呢?除了上面說過留后門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個DDoS的發(fā)包程序,黑客就是利用它來向受害目標(biāo)發(fā)送惡意攻擊包的。
3. 實際攻擊
經(jīng)過前2個階段的精心準(zhǔn)備之后,黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備發(fā)射了。前面的準(zhǔn)備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制臺的傀儡機,向所有的攻擊機發(fā)出命令:"預(yù)備~ ,瞄準(zhǔn)~,開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應(yīng)控制臺的命令,一起向受害主機以高速度發(fā)送大量的數(shù)據(jù)包,導(dǎo)致它死機或是無法響應(yīng)正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。
老到的攻擊者一邊攻擊,還會用各種手段來監(jiān)視攻擊的效果,在需要的時候進行一些調(diào)整。簡單些就是開個窗口不斷地ping目標(biāo)主機,在能接到回應(yīng)的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊。
抗ddos設(shè)備的工作原理看完文章大家就會清楚了,DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。相信大家都知道了黑客是如何組織一次DDoS攻擊的,全面了解DDoS攻擊才能更有效去防護它。
