ddos攻擊教程 攻擊原理與防禦方法解析

2021-05-24 12:57:56 字數 2075 閱讀 6751

dos攻擊、ddos攻擊和drdos攻擊相信大家已經早有耳聞了吧!dos是denial of service的簡寫就是拒絕服務,而ddos就是distributed denial of service的簡寫就是分布式拒絕服務,而drdos就是distributed reflection denial of service的簡寫,這是分布反射式拒絕服務的意思。

不過這3中攻擊方法最厲害的還是ddos,那個drdos攻擊雖然是新近出的一種攻擊方法,但它只是ddos攻擊的變形,它的唯一不同就是不用占領大量的「肉雞」。這三種方法都是利用tcp三次握手的漏洞進行攻擊的,所以對它們的防禦辦法都是差不多的。

dos攻擊是最早出現的,它的攻擊方法說白了就是單挑,是比誰的機器效能好、速度快。但是現在的科技飛速發展,一般的**主機都有十幾台主機,而且各個主機的處理能力、記憶體大小和網路速度都有飛速的發展,有的網路頻寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什麼作用了,搞不好自己的機子就會死掉。舉個這樣的攻擊例子,假如你的機器每秒能夠傳送10個攻擊用的資料報,而被你攻擊的機器(效能、網路頻寬都是頂尖的)每秒能夠接受並處理100攻擊資料報,那樣的話,你的攻擊就什麼用處都沒有了,而且非常有宕機的可能。要知道,你若是傳送這種1vs1的攻擊,你的機器的cpu佔用率是90%以上的,你的機器要是配置不夠高的話,那你就死定了。

不過,科技在發展,黑客的技術也在發展。正所謂道高一尺,魔高一仗。經過無數次當機,黑客們終於又找到一種新的dos攻擊方法,這就是ddos攻擊。它的原理說白了就是群毆,用好多的機器對目標機器一起發動dos攻擊,但這不是很多黑客一起參與的,這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器,他是通過他的機器在網路上占領很多的「肉雞」,並且控制這些「肉雞」來發動ddos攻擊,要不然怎麼叫做分布式呢。還是剛才的那個例子,你的機器每秒能傳送10攻擊資料報,而被攻擊的機器每秒能夠接受100的資料報,這樣你的攻擊肯定不會起作用,而你再用10臺或更多的機器來對被攻擊目標的機器進行攻擊的話,嘿嘿!結果我就不說了。

drdos分布反射式拒絕服務攻擊這是ddos攻擊的變形,它與ddos的不同之處就是drdos不需要在攻擊之前占領大量的「肉雞」。它的攻擊原理和smurf攻擊原理相近,不過drdos是可以在廣域網上進行的,而smurf攻擊是在區域網進行的。它的作用原理是基於廣播位址與回應請求的。一台計算機向另一台計算機傳送一些特殊的資料報如ping請求時,會接到它的回應;如果向本網路的廣播位址傳送請求包,實際上會到達網路上所有的計算機,這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的,每處理乙個就要占用乙份系統資源,如果同時接到網路上所有計算機的回應,接收方的系統是有可能吃不消的,就象遭到了ddos攻擊一樣。不過是沒有人笨到自己攻擊自己,不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播位址傳送請求包,所有的計算機得到請求後,卻不會把回應發到黑客那裡,而是發到被攻擊主機。這是因為黑客冒充了被攻擊主機。黑客傳送請求包所用的軟體是可以偽造源位址的,接到偽造資料報的主機會根據源位址把回應發出去,這當然就是被攻擊主機的位址。黑客同時還會把傳送請求包的時間間隔減小,這樣在短時間能發出大量的請求包,使被攻擊主機接到從被欺騙計算機那裡傳來的洪水般的回應,就像遭到了ddos攻擊導致系統崩潰。駭客借助了網路中所有計算機來攻擊受害者,而不需要事先去占領這些被欺騙的主機,這就是smurf攻擊。而drdos攻擊正是這個原理,黑客同樣利用特殊的發包工具,首先把偽造了源位址的syn連線請求包傳送到那些被欺騙的計算機上,根據tcp三次握手的規則,這些計算機會向源ip發出syn+ack或rst包來響應這個請求。同smurf攻擊一樣,黑客所傳送的請求包的源ip位址是被攻擊主機的位址,這樣受欺騙的主機就都會把回應發到被攻擊主機處,造成被攻擊主機忙於處理這些回應而癱瘓。

解釋:synsynchronize sequence numbers)用來建立連線,在連線請求中,syn=1,ack=0,連線響應時,syn=1,ack=1。即,syn和ack來區分connection request和connection accepted。

rstreset the connection)用於復位因某種原因引起出現的錯誤連線,也用來拒絕非法資料和請求。如果接收到rst位時候,通常發生了某些錯誤。

ackacknowledgment field significant)置1時表示確認號(acknowledgment number)為合法,為0的時候表示資料段不包含確認資訊,確認號被忽略。

tcp三次握手:

防禦DDOS攻擊

伺服器防禦ddos攻擊有什麼比較好的方法,其實這種攻擊一般來說是一種兩敗俱傷的局面,想要發起這麼一場大規模的攻擊作為黑客來說要承擔非常大的損失,因為要調動這麼多的ip位址同一時間去訪問某乙個伺服器的ip位址,這本身就需要非常強大的能量才可以辦得到,所以這種攻擊一般只是針對一些有價值的目標,而那些沒有...

DDoS攻擊介紹,如何防禦DDoS攻擊

分布式拒絕服務攻擊 ddos攻擊 是一種針對目標系統的惡意網路攻擊行為,ddos攻擊經常會導致被攻擊者的業務無法正常訪問,也就是所謂的拒絕服務。常見的ddos攻擊包括以下幾類 建議阿里雲使用者從以下幾個方面著手緩解ddos攻擊的威脅 優化業務架構,利用公共雲的特性設計彈性伸縮和災備切換的系統。提供餘...

nginx防禦DDOS攻擊

防禦ddos是乙個系統工程,攻擊花樣多,防禦的成本高瓶頸多,防禦起來即被動又無奈。ddos的特點是分布式,針對頻寬和服務攻擊,也就 是四層流量攻擊和七層應用攻擊,相應的防禦瓶頸四層在頻寬,七層的多在架構的吞吐量。對於七層的應用攻擊,我們還是可以做一些配置來防禦的,例如前端是 nginx,主要使用ng...