网站建设的职位类别,网络营销策划书模板,广州网络营销品牌,网页设计基础教程题库DDOS简介
DDOS又称为分布式拒绝服务#xff0c;全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载#xff0c;导致服务不可用#xff0c;从而造成服务器拒绝正常流量服务。就如酒店里的房间是有固定的数量的#xff0c;比如一个酒店有50个房间全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载导致服务不可用从而造成服务器拒绝正常流量服务。就如酒店里的房间是有固定的数量的比如一个酒店有50个房间当50个房间都住满人之后再有新的用户想住进来就必须要等之前入住的用户先出去。如果入住的用户一直不出去那么酒店就无法迎接新的用户导致酒店负荷过载这种情况就是“拒绝服务”。如果想继续提供资源那么酒店应该提升自己的资源量服务器也是同样的道理。
拒绝服务攻击的基本概念
拒绝服务拒绝服务是指应用系统无法正常对外提供服务的状态如网络阻塞、系统宕机、响应缓慢等都属于拒绝服务的表现。
拒绝服务攻击DOS拒绝服务攻击Denial of Service Attack是一种通过各种技术手段导致目标系统进入拒绝服务状态的攻击常见手段包括利用漏洞、消耗应用系统性能和消耗应用系统带宽。
分布式拒绝服务攻击DDOS分布式拒绝服务攻击Distributed Denial of Service Attack是拒绝服务攻击的高级手段利用分布全球的僵尸网络发动攻击能够产生大规模的拒绝服务攻击。 DDOS攻击分类
1漏洞型基于特定漏洞进行攻击只对具备特定漏洞的目标有效,通常发送特定数据包或少量的数据包即可达到攻击效果。
2业务型消耗业务系统性能额为主与业务类型高度相关需要根据业务系统的应用类型采取对应的攻击手段才能达到效果通常业务型攻击实现效果需要的流量远低于流量型。
3流量型消耗带宽资源为主主要以消耗目标业务系统的带宽资源为攻击手段通常会导致网络阻塞从而影响正常业务。
拒绝服务攻击处理流程
1现象分析根据发现的现象、网络设备和服务的情况初步判断是否存在拒绝服务攻击。
2抓包分析通过抓包分析的方式进一步了解攻击的方式和特征。
3启动对抗措施最后启动对抗措施进行攻击对抗可以进行资源提升、安全加固、安全防护等措施。
DDOS流量包分析
SYN Flood攻击
在正常的情况下TCP三次握手过程如下 客户端向服务器端发送一个SYN请求包包含客户端使用的端口号和初始序列号x。 服务器端收到客户端发送过来的SYN请求包后知道客户端想要建立连接于是向客户端发送一个SYN请求包和ACK回应包包含确认号x1和服务器端的初始序列号y。
客户端收到服务器端返回的SYN请求包和ACK回应包后向服务器端返回一个确认号y1和序号x1的ACK请求包三次握手完成TCP连接建立成功。
SYN Flood攻击原理
首先是客户端发送一个SYN请求包给服务器端服务器端接受后会发送一个SYNACK包回应客户端最后客户端会返回一个ACK包给服务器端来实现一次完整的TCP连接。Syn flood攻击就是让客户端不返回最后的ACK包这就形成了半开连接TCP半开连接是指发送或者接受了TCP连接请求,等待对方应答的状态,半开连接状态需要占用系统资源以等待对方应答半开连接数达到上限无法建立新的连接从而造成拒绝服务攻击。
受害靶机的流量包分析 利用wireshark软件抓取数据包的数据通过筛选器筛选出发送包频率多的ip地址。 筛选218.xxx.xxx.87分析协议占比发现tcp和http占比比较大 筛选tcp中的syn数据包发现syn数据包占比为82.9可以判断应该为SYN FLOOD拒绝服务攻击 UDP Flood攻击
UDP Flood攻击原理
由于UDP属于无连接协议消耗的系统资源较少相同条件下容易产生更高的流量是流量型攻击的主要手段。当受害系统接收到一个UDP数据包的时候它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候系统就会造成拒绝服务攻击因此UDP FLOOD成为了流量型拒绝服务攻击的主要手段。
受害靶机的流量包分析 利用wireshark软件抓取数据包的数据通过筛选器筛选出发送包频率多的ip地址。 筛选117.xxx.xxx.0网段分析协议占比可以看到受害靶机接受的UDP包比较多。 可以看到UDP包的大小都是固定的172bytes。 可以看出都是发送udp包udp包大小都是相同的可以判断是udp flood攻击。 慢速拒绝服务攻击 apt install slowhttptest -y
安装slowhttptest
慢速拒绝服务攻击原理
完整的http请求包是以 \r\n\r\n 结尾慢速拒绝服务攻击时仅发送 \r\n少发送一个 \r\n服务器认为请求还未发完服务器就会一直等待直至超时。
slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u “http://10.10.10.134” -x 200 -p 3
测试时建立5000连接数-c选择slowloris模式-H生成cvs和HTML文件的统计数据-G生成的文件名my_header_stats -o指定发送数据间的间隔10秒 -i 每秒连接数5000-t指定url-u指定发送的最大数据长度200 -x指定等待时间来确认DOS攻击已经成功-p 观察靶机的cpu和网络流量明显增加很多 受害靶机的流量包分析 攻击机ip10.10.10.129靶机ip10.10.10.134 [PSH,ACK]是攻击机发送有数据的ACK包给靶机[ACK]包是靶机回复攻击机的数据包。
可以看到没有发送2次连续的\r\n以至于靶机要一直等待。 http协议比例为36.6tcp协议比例为87.4 筛选ack数据包占比率98.2不符合常态综上可以判断为慢速拒绝服务攻击 ICMP Flood攻击 ICMP Flood攻击原理
当 ICMP ping 产生的大量回应请求超出了系统的最大限度以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流但是由于ICMP协议报文被丢弃不影响大多数系统运行所以容易被防护。
利用hping3造成ICMP Flood攻击
hping3 -q -n -a 1.1.1.1 –icmp -d 200 –flood 10.10.10.134 观察靶机的cpu和网络流量明显增加很多 受害靶机的流量包分析 伪造的源ip1.1.1.1发送大量icmp包给目标ip:10.10.10.134 筛选出同一IP发送大量ICMP包且占比率86.0判断为ICMP拒绝服务攻击。 总结
拒绝服务攻击造成的危害是比较大的本质是对有限资源的无限制的占用所造成的所以在这方面需要限制每个不可信任的资源使用中的分配额度或者提高系统的有限资源等方式来防范拒绝服务攻击。
