散式阻斷服務攻擊

散式阻斷服務攻擊

拒絕服務攻擊(英語:denial-of-service attack,縮寫DoS attackDoS)亦稱洪水攻擊,是一種網上攻擊手法,其目的在於使目標計算機的網上系統資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法訪問。

基本介紹

  • 中文名:散式阻斷服務攻擊
  • 外文名:denial-of-service attack
  • 簡介:分散式阻斷服務攻擊
  • 亦作分散式拒絕服務攻擊
  • 通常:簡稱為DDoS
簡介,攻擊現象,攻擊方式,防禦方式,防火牆,交換機,路由器,黑洞引導,流量清洗,參看,

簡介

拒絕服務攻擊(英語:denial-of-service attack,縮寫DoS attackDoS)亦稱洪水攻擊,是一種網上攻擊手法,其目的在於使目標計算機的網上系統資源耗盡,使服務暫時中斷或停止,導致其正常用戶無法訪問。
黑客使用網路上兩個或以上被攻陷的計算機作為“殭屍”向特定的目標發動“拒絕服務”式攻擊時,稱為分散式拒絕服務攻擊(distributed denial-of-service attack,縮寫DDoS attackDDoS)。據2014年統計,被確認為大規模DDoS的攻擊已達平均每小時28次。DDoS發起者一般針對重要服務和知名網站進行攻擊,如銀行、信用卡支付網關、甚至根域名伺服器等。
DoS也常見於部分網路遊戲,被心懷不滿的玩家或是競爭對手廣泛使用。DoS也常被用於抗議,自由軟體基金會創辦人理察·斯托曼曾表示,DoS是“網路街頭抗議”的一種形式。

攻擊現象

例如,美國國土安全部旗下的美國計算機應急準備小組(US-CERT)定義的拒絕服務攻擊症狀包括:
  1. 網路異常緩慢(打開檔案或訪問網站)
  2. 特定網站無法訪問
  3. 無法訪問任何網站
  4. 垃圾郵件的數量急劇增加
  5. 無線或有線網路連線異常斷開
  6. 長時間嘗試訪問網站或任何網際網路服務時被拒絕
  7. 伺服器容易斷線、卡頓
拒絕服務的攻擊也可能會導致目標計算機同一網路中的其他計算機被攻擊,網際網路區域網路之間的頻寬會被攻擊導致大量消耗,不但影響目標計算機,同時也影響區域網路中的其他計算機。如果攻擊的規模較大,整個地區的網路連線都可能會受到影響。
2018年3月,原始碼託管服務GitHub遭到迄今為止規模最大的DDoS攻擊。

攻擊方式

DDoS攻擊可以具體分成兩種形式:頻寬消耗型以及資源消耗型。它們都是透過大量合法或偽造的請求占用大量網路以及器材資源,以達到癱瘓網路以及系統的目的。
頻寬消耗型攻擊
DDoS頻寬消耗攻擊可以分為兩個不同的層次;洪泛攻擊或放大攻擊。洪泛攻擊的特點是利用殭屍程式傳送大量流量至受損的受害者系統,目的在於堵塞其頻寬。放大攻擊與其類似,是通過惡意放大流量限制受害者系統的頻寬;其特點是利用殭屍程式通過偽造的源IP(即攻擊目標IP)向某些存在漏洞的伺服器傳送請求,伺服器在處理請求後向偽造的源IP傳送應答,由於這些服務的特殊性導致應答包比請求包更長,因此使用少量的頻寬就能使伺服器傳送大量的應答到目標主機上。
  • UDP洪水攻擊(User Datagram Protocol floods)
  • UDP(用戶數據報協定)是一種無連線協定,當數據包通過UDP傳送時,所有的數據包在傳送和接收時不需要進行握手驗證。當大量UDP數據包傳送給受害系統時,可能會導致頻寬飽和從而使得合法服務無法請求訪問受害系統。遭受DDoS UDP洪泛攻擊時,UDP數據包的目的連線埠可能是隨機或指定的連線埠,受害系統將嘗試處理接收到的數據包以確定本地運行的服務。如果沒有應用程式在目標連線埠運行,受害系統將對源IP發出ICMP數據包,表明“目標連線埠不可達”。某些情況下,攻擊者會偽造源IP位址以隱藏自己,這樣從受害系統返回的數據包不會直接回到殭屍主機,而是被傳送到被偽造地址的主機。有時UDP洪泛攻擊也可能影響受害系統周圍的網路連線,這可能導致受害系統附近的正常系統遇到問題。然而,這取決於網路體系結構和線速。
  • ICMP洪水攻擊(ICMP floods)
  • ICMP(網際網路控制訊息協定)洪水攻擊是通過向未良好設定的路由器傳送廣播信息占用系統資源的做法。
  • 死亡之Ping(ping of death)
  • 死亡之Ping是產生超過IP協定能容忍的數據包數,若系統沒有檢查機制,就會當機。
  • 淚滴攻擊
  • 每個數據要傳送前,該數據包都會經過切割,每個小切割都會記錄位移的信息,以便重組,但此攻擊模式就是捏造位移信息,造成重組時發生問題,造成錯誤。

防禦方式

拒絕服務攻擊的防禦方式通常為入侵檢測,流量過濾和多重驗證,旨在堵塞網路頻寬的流量將被過濾,而正常的流量可正常通過。

防火牆

防火牆可以設定規則,例如允許或拒絕特定通訊協定,連線埠或IP位址。當攻擊從少數不正常的IP位址發出時,可以簡單的使用拒絕規則阻止一切從攻擊源IP發出的通信。
複雜攻擊難以用簡單規則來阻止,例如80連線埠(網頁服務)遭受攻擊時不可能拒絕連線埠所有的通信,因為其同時會阻止合法流量。此外,防火牆可能處於網路架構中過後的位置,路由器可能在惡意流量達到防火牆前即被攻擊影響。然而,防火牆能有效地防止用戶從啟動防火牆後的計算機發起攻擊。

交換機

大多數交換機有一定的速度限制和訪問控制能力。有些交換機提供自動速度限制、流量整形、後期連線、深度包檢測和假IP過濾功能,可以檢測並過濾拒絕服務攻擊。例如SYN洪水攻擊可以通過後期連線加以預防。基於內容的攻擊可以利用深度包檢測阻止。

路由器

和交換機類似,路由器也有一定的速度限制和訪問控制能力,而大多數路由器很容易受到攻擊影響。

黑洞引導

黑洞引導指將所有受攻擊計算機的通信全部傳送至一個“黑洞”(空接口或不存在的計算機地址)或者有足夠能力處理洪流的網路設備商,以避免網路受到較大影響。

流量清洗

當流量被送到DDoS防護清洗中心時,通過採用抗DDoS軟體處理,將正常流量和惡意流量區分開。正常的流量則回注回客戶網站。這樣一來可站點能夠保持正常的運作,處理真實用戶訪問網站帶來的合法流量。

參看

相關詞條

熱門詞條

聯絡我們