DDOS是什麼 DDOS攻擊方式有哪些該怎麼防範?

2021-10-05 19:21:02 字數 2937 閱讀 8528

ddos是什麼 ddos攻擊方式有哪些該怎麼防範?

ddos攻擊是distributed denial of service的縮寫,即不法黑客組織通過控**務器等資源,發動對包括國家骨幹網路、重要網路設施、政企或個人**在內的網際網路上任一目標的攻擊,致使目標伺服器斷網,最終停止提供服務。

打個比方,兩家相互競爭的商鋪,一家為了搶生意,僱傭大批人擠在對方商鋪,賴著不走,讓真正的顧客無法進入,或者和店員東拉西扯,妨礙正常工作,讓對手錯過真正的顧客,造成損失。ddos攻擊利用的就是這種思路。

1、什麼是ddos

ddos全稱distributed denial of service,中文意思為「分布式拒絕服務」,就是利用大量合法的分布式伺服器對目標傳送請求,從而導致正常合法使用者無法獲得服務。通俗點講就是利用網路節點資源如:idc伺服器、個人pc、手機、智慧型裝置、印表機、攝像頭等對目標發起大量攻擊請求,從而導致伺服器擁塞而無法對外提供正常服務,只能宣布game over,詳細描述如下圖所示:

ddos攻擊示意圖
2、黑客為什麼選擇ddos

不同於其他惡意篡改資料或劫持類攻擊,ddos簡單粗暴,可以達到直接摧毀目標的目的。另外,相對其他攻擊手段ddos的技術要求和發動攻擊的成本很低,只需要購買部分伺服器許可權或控制一批肉雞即可,而且攻擊相應速度很快,攻擊效果可視。另一方面,ddos具有攻擊易防守難的特徵,服務提供商為了保證正常客戶的需求需要耗費大量的資源才能和攻擊發起方進行對抗。這些特點使得ddos成為黑客們手中的一把很好使的利劍,而且所向霹靂。

從另乙個方面看,ddos雖然可以侵蝕頻寬或資源,迫使服務中斷,但這遠遠不是黑客的正真目的。所謂沒有買賣就沒有殺害,ddos只是黑客手中的一枚核**,他們的目的要麼是敲詐勒索、要麼是商業競爭、要麼是要表達政治立場。在這種黑色利益的驅使下,越來越多的人參與到這個行業並對攻擊手段進行改進公升級,致使ddos在網際網路行業愈演愈烈,並成為全球範圍內無法攻克的乙個頑疾。

3、ddos的攻擊方式

一種服務需要面向大眾就需要提供使用者訪問介面,這些介面恰恰就給了黑客有可乘之機,如:可以利用tcp/ip協議握手缺陷消耗服務端的鏈結資源,可以利用udp協議無狀態的機制偽造大量的udp資料報阻塞通訊通道……可以說,網際網路的世界自誕生之日起就不缺乏被ddos利用的攻擊點,從tcp/ip協議機制到cc、dns、ntp反射類攻擊,更有甚者利用各種應用漏洞發起更高階更精確的攻擊。

從ddos的危害性和攻擊行為來看,我們可以將ddos攻擊方式分為以下幾類:

a)資源消耗類攻擊

資源消耗類是比較典型的ddos攻擊,最具代表性的包括:syn flood、ack flood、udp

flood。這類攻擊的目標很簡單,就是通過大量請求消耗正常的頻寬和協議棧處理資源的能力,從而達到服務端無法正常工作的目的。

b)服務消耗性攻擊

服務消耗類攻擊
c)反射類攻擊

反射攻擊也叫放大攻擊,該類攻擊以udp協議為主,一般請求回應的流量遠遠大於請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量頻寬就可以製造出大規模的流量源,從而對目標發起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種,它只是利用某些服務的業務特徵來實現用更小的代價發動flood攻擊,詳細示意圖如下:

反射類攻擊
d)混合型攻擊

混合型攻擊是結合上述幾種攻擊型別,並在攻擊過程中進行探測選擇最佳的攻擊方式。混合型攻擊往往伴隨這資源消耗和服務消耗兩種攻擊型別特徵。

4、ddos防護困難

5、ddos防護手段

ddos的防護系統本質上是乙個基於資源較量和規則過濾的智慧型化系統,主要的防禦手段和策略包括:

a)資源隔離

資源隔離可以看作是使用者服務的一堵防護盾,這套防護系統擁有無比強大的資料和流量處理能力,為使用者過濾異常的流量和請求。如:針對syn flood,防護盾會響應syn cookie或syn reset認證,通過對資料來源的認證,過濾偽造源資料報或發功攻擊的攻擊,保護服務端不受惡意連線的侵蝕。資源隔離系統主要針對iso模型的第三層和第四層進行防護。資源隔離示意圖如下:

資源隔離示意圖
b)使用者規則

從服務的角度來說ddos防護本質上是一場以使用者為主體依賴抗d防護系統與黑客進行較量的戰爭,在整個資料對抗的過程中服務提供者往往具有絕對的主動權,使用者可以基於抗d系統特定的規則,如:流量型別、請求頻率、資料報特徵、正常業務之間的延時間隔等。基於這些規則使用者可以在滿足正常服務本身的前提下更好地對抗七層類的ddos,並減少服務端的資源開銷。詳細示意圖如下:

使用者規則清洗
c)大資料智慧型分析

黑客為了構造大量的資料流,往往需要通過特定的工具來構造請求資料,這些資料報不具有正常使用者的一些行為和特徵。為了對抗這種攻擊,可以基於對海量資料進行分析,進而對合法使用者進行模型化,並利用這些指紋特徵,如:http模型特徵、資料**、請求源等,有效地對請求源進行白名單過濾,從而實現對ddos流量的精確清洗。

指紋過濾清洗
d)資源對抗

資源對抗也叫「死扛」,即通過大量伺服器和頻寬資源的堆砌達到從容應對ddos流量的效果。

Ddos攻擊方式分類

分布式拒絕服務是 利用分布式的客戶端,向服務端傳送大量看似合法的請求,從而消耗大量資源或者長時間占用資源不釋放。攻擊網路頻寬自願的攻擊方式 1 直接攻擊 1.1 icmp igmp 洪水攻擊 1.2 udp洪水攻擊 2 反射和方法攻擊 2.1 ack反射攻擊 2.2 dns放大攻擊 2.3 ntp放...

DDos攻擊 DDos攻擊的本質及攻擊方式

一.利用木桶原理,尋找並利用系統應用的瓶頸 二.阻塞和耗盡 三.當前的問題 使用者的頻寬小於攻擊的規模,造成訪問頻寬成為木桶的短板 不要以為可以防住真正的ddos 好比 藥,一直在 從未見療效 真正海量的ddos可以直接阻塞網際網路 ddos攻擊只針對有意義的目標 如果沒被ddos過,說明確實沒啥值...

DDOS都有哪些攻擊方式?

目前,ddos攻擊已經不在網路安全界的新客,但作為老客的它已經變的越來越複雜。黑客不斷提出新的攻擊方案以便於繞過安全部門所制定的防禦計畫,進而對企業造成利益的損害。但安全提供商在防禦技術上的研究也並沒有就此停止腳步,反而更加積極的推出新的解決方案來組織黑客攻擊。1 應用層ddos攻擊 應該層的ddo...