DDoS(distributed denial of service)攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆、萬兆、百級級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣一來攻擊就不會產生什么效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨干節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
被DDoS攻擊時的現象:
· 被攻擊主機上有大量等待的TCP連接。
· 網絡中充斥著大量的無用的數據包,源地址為假。
· 制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊。
· 利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求。
· 嚴重時會造成系統死機
二、 DDoS的類型及原理
DDOS攻擊主要分為三類:流量型攻擊;連接型攻擊;特殊協議缺陷。
1、 Ip lood
攻擊原理:此攻擊以多個隨機的源主機地址向目的主機發送超大量的隨機或特定的IP包,造成目標主機不能處理其他正常的IP報文。
原理圖:
2、 Syn Flood
攻擊原理:依據tcp建立連接的三次握手。此攻擊以多個隨機的源主機地址向目的主機發送syn包,而在收到目的主機的syn+ack包后并不回應,目的主機就為這些源主機建立大量的連接隊列,由于沒有收到ack一直維護這些連接隊列,造成資源的大量消耗而不能向正常的請求提供服務。與之類似的攻擊方式還有ackflood、s-ackflood、finflood、rstflood、tcpflood 。
原理圖:
3、 Udp 反射 Flood
攻擊原理:有時被保護服務器也有同外部服務器進行udp交互的需求,攻擊者就會利用此交互對被保護服務器進行udp反射放大攻擊。此攻擊在短時間那冒充被攻擊地址向外部公用的服務器發送大量的udp請求包,外部服務器收到虛假的udp請求就會回復大量的回應包給被攻擊服務器地址,造成目標主機被保護服務器不能處理其他正常的交互流。
原理圖:
4、 Dns Query Flood
攻擊原理:通過發起大量的DNS請求,導致DNS服務器無法響應正常用戶的請求,正常用戶不能解析DNS,從而不能獲取服務。
原理圖:
[圖片上傳中...(image.png-635f2b-1561695331053-0)]
5、 Dns Reply Flood
攻擊原理:攻擊者通過發起大量偽造的DNS回應包,導致DNS服務器帶寬擁塞無法響應正常用戶的請求,正常用戶不能解析DNS,從而不能獲取服務。
原理圖:
6、 Http Flood
攻擊原理:此攻擊類型主要攻擊目標為Web服務器上的網頁訪問服務,當發生攻擊時攻擊者向被攻擊服務器大量高頻的發送一個網頁或多個網頁的請求服務,使服務器忙于向攻擊者提供響應資源從而導致不能想正常的合法用戶提供請求響應服務。
7、 Https Flood
攻擊原理:此攻擊類型主要攻擊目標是使用https協議的Web服務器上的訪問服務,當發生攻擊時攻擊者向被攻擊服務器大量高頻的發送請求服務,使服務器忙于向攻擊者提供https響應資源從而導致不能想正常的合法用戶提供請求響應服務。
原理圖:
8、 Sip Invite Flood
攻擊原理:Sip協議為網絡視頻電話會議的udp協議,攻擊者通過發起大量的Sip invite請求,導致網絡視頻電話會議Sip服務器無法響應正常用戶的請求報文,占用服務器帶寬使其阻塞,達到SIP報文洪水攻擊的目的。
原理圖:
9、 Sip Register Flood
攻擊原理:Sip協議為網絡視頻電話會議的udp協議,攻擊者通過發起大量的Sip register注冊信息,導致網絡視頻電話會議Sip服務器無法響應正常用戶的注冊報文信息,占用服務器帶寬使其阻塞,達到SIP注冊報文洪水攻擊的目的。
原理圖:
10、 Ntp Request Flood
攻擊原理:Ntp協議即為網絡時間同步的udp協議,用于在分布式NTP服務器和客戶端之間進行時間同步。NTP攻擊,基于UDP協議,攻擊者向NTP服務器發送大量的請求報文,占用服務器帶寬使其阻塞,達到NTP攻擊的目的。
原理圖:
11、 Ntp Reply Flood
攻擊原理:攻擊者向NTP服務器發送大量的響應報文,占用服務器帶寬使其阻塞,達到NTP攻擊的目的。
原理圖:
12、 Connection Flood
攻擊原理:利用真實 IP 地址(代理服務器、廣告頁面)在服務器上建立大量連接服務器上殘余連接(WAIT狀態)過多,效率降低,甚至資源耗盡,無法響應; 蠕蟲傳播過程中會出現大量源IP地址相同的包,對于 TCP 蠕蟲則表現為大范圍掃描行為; 消耗骨干設備的資源,如防火墻的連接數。
原理圖:
13、 CC攻擊
攻擊原理:利用代理服務器向受害者發起大量HTTP Get請求;主要請求動態頁面,涉及到數據庫訪問操作;數據庫負載以及數據庫連接池負載極高,無法響應正常請求
原理圖:
14、 http slow header慢速攻擊
攻擊原理:在http協議中規定,http的頭部以連續的“\r\n\r\n”作為結束標志。許多web服務器在處理http請求的頭部信息時,會等待頭部傳輸結束后再進行處理。因此,如果web服務器沒有接收到連續的“\r\n\r\n”,就會一直接收數據并保持與客戶端的連接。Slow-header的工作原理是攻擊者在發送http get請求時,緩慢的發送無用的header字段,并且一直不發送“\r\n\r\n”結束標志。Web服務器能夠處理的并發連接數是有限的,如果攻擊者利用大量的主機發送這種不完整的http get請求把那個持續占用這些連接,就會耗盡web服務器的資源。
原理圖:
15、 http slow post慢速攻擊
攻擊原理:在post提交方式中,允許在http的頭中聲明content-length,也就是指定http消息實體的傳輸長度。當web服務器接收到請求頭部中含有content-length字段時,服務器會將該字段的值作為http body的長度,持續接收數據并達到content-length值時對實體的數據內容進行處理。slow post會傳送包括整個header的http請求,在提交了頭以后,將后面的body部分卡住不發送,這時候服務器在接受了post長度以后,在處理數據之前會等待客戶端發送post的內容,攻擊者保持連接并且以10s-100s一個字節的速度去發送,就達到了消耗資源的效果,因此不斷增加這樣的連接會使得服務器的資源被消耗
原理圖:
16、 Https-ssl-dos攻擊
攻擊原理:在進行SSL數據傳輸之前,通信雙方首先要進行ssl握手,以協商加密算法交換加密密鑰,進行身份認證。通常情況下,這樣的ssl握手過程只需要進行一次即可,但是在ssl協議中有一個renegotiation選項,通過它可以進行密鑰的重新協商以建立新的密鑰。在ssl握手的過程中,服務器會消耗較多的CPU資源來進行加解密,并進行數據的有效性驗證。SSL-dos攻擊方式的本質是消耗服務器的CPU資源,在協商加密算法的時候,服務器CPU的開銷是客戶端的15倍左右。攻擊者在一個TCP連接中不停地快速重新協商,如果建立多個連接,給服務器端造成的壓力會更加明顯,從而達到攻擊目的。
原理圖完整的SSL連接過程:
原理圖:
17、 Dns NX攻擊
攻擊原理:Dns NX攻擊是dns query flood攻擊的一個變種攻擊方式,區別是后者向dns服務器查詢的是一個真實存在的域名,而前者向dns服務器查詢的是一個不存在的域名。在進行dns nx攻擊時,dns服務器會進行多次域名查詢,其獲取不到域名的解析結果時,還會再次進行遞歸查詢,向上一級的dns服務器發送解析請求并等待應答,這進一步增加了dns服務器的資源消耗。同時,dns服務器的緩存會被大量nx domian記錄所填滿,導致響應正常用戶的dns解析請求變慢。
原理圖:
18、 Dns 投毒
攻擊原理:一臺dns服務器只記錄本地資源的所有授權主機,若要查詢的是非本地的主機信息,則向信息持有者(授權dns服務器)發送查詢請求。為了避免每次查詢都發送請求,dns服務器會把授權服務器返回的查詢結果保存在緩存中,并保持一段時間,這就構成了dns緩存。dns緩存投毒攻擊就是通過污染dns cache,用虛假的IP地址信息替換cache中主機記錄的真實IP地址信息來制造破壞。這種類型的攻擊的目的是將依賴于此dns服務器的受害者重定向到其它的地址,例如重定向搜索引擎到廣告網站。這種類型的典型攻擊就是釣魚方式的攻擊,例如將一個銀行的訪問重定向到黑客偽造的網站。
原理圖:
