DDoS攻击原理及防护
DDoS攻击的原理是什么?随着Internet时代的到来,网络安全变得越来越重要。在Internet安全领域,DDoS(分布式拒绝服务)攻击技术由于其隐蔽性和高效性,一直是网络攻击者最流行的攻击方法,严重威胁着Internet的安全。在下一篇文章中,编辑者将介绍DDoS攻击的原理,表现形式和防御策略。希望对您有帮助。
DDoS攻击原理和防护措施简介
1. DDoS攻击如何工作
1.1 DDoS的定义
DDos的前身,即DoS(DenialofService)攻击,意味着拒绝服务攻击。这种攻击行为使网站服务器上充斥着大量请求答复的信息,消耗了网络带宽或系统资源,并导致网络或系统过载,并停止提供正常的网络。服务。 DDoS分布式拒绝服务主要利用Internet上现有机器和系统的漏洞来捕获大量网络主机,并使它们成为攻击者的代理。当受控机器的数量达到一定数量时,攻击者会发送指令以操纵这些攻击机器,同时在目标主机或网络上发起DoS攻击,这会消耗大量的网络带宽和系统资源,从而导致网络或系统瘫痪或停止提供正常网络。服务。由于DDos具有分布式特性,因此与Dos相比,它具有更强的攻击能力和破坏力。
1.2 DDoS攻击原理
如图1所示,一个相对完整的DDos攻击系统分为四个部分,即攻击者(攻击者也可以称为主控者),控制木偶机(处理程序),攻击木偶机(守护程序,也称为代理)和受害者。第2部分和第3部分分别用于控制和实际攻击。第二部分中的控制机器仅发出命令,不参与实际攻击,而第三部分中的控制机器则攻击the机器上的实际DDoS攻击程序包。对于计算机的第二部分和第三部分,攻击者可以控制或部分控制,并将相应的DDoS程序上载到这些平台。这些程序像普通程序一样运行,并等待攻击者的指示。通常,它还使用各种方法来隐藏自己,使其不被他人发现。在平时,这些木偶戏没有什么不同通常,仅当攻击者连接到他们以控制和发出指令后,攻击者便成为发起攻击的攻击者。
采用这种结构的原因是为了隔离网络连接,并在攻击进行过程中保护攻击者不受监视系统的跟踪。同时,由于攻击执行者太多,可以更好地协调攻击,同时,系统发布命令会导致控制系统网络拥塞,影响攻击的突然性和协调性。而且,流量的突然增加很容易暴露出攻击者的位置和意图。整个过程可以分为:
1)扫描大量主机以找到可入侵的主机目标;
2)具有安全漏洞和获得控制权的主机;
3)在入侵主机上安装攻击程序;
4)使用入侵的主机继续扫描和入侵。
当受控攻击代理的数量达到攻击者的满意程度时,攻击者可以随时通过攻击主计算机来发出攻击指令。由于攻击主服务器的位置非常灵活,并且发出命令的时间非常短,因此定位非常隐蔽。一旦将攻击命令发送到攻击机械手,就可以关闭主控制机或将其与网络断开连接以避免跟踪,并且攻击机械手将向每个攻击代理发出命令。攻击代理收到攻击命令后,开始向目标主机发送大量服务请求报文。这些数据包是伪装的,因此被攻击者无法识别其来源,这些数据包所请求的服务通常会消耗大量的系统资源,例如CP或网络带宽。如果数百甚至数千个攻击代理同时攻击目标,则将导致目标主机的网络和系统资源用尽,从而停止服务。有时,它甚至可能导致系统崩溃。
另外,这还会阻塞目标网络的防火墙和路由器等网络设备,从而进一步加剧网络拥塞。因此,目标主机根本无法向用户提供任何服务。攻击者使用的协议是一些非常常见的协议和服务。这样,系统管理员很难区分恶意请求和肯定连接请求,因此不能有效地隔离攻击数据包。
2. DDoS攻击识别
DDoS(拒绝服务,分布式拒绝服务)攻击的主要目的是允许指定目标在不引起任何注意的情况下提供正常服务,甚至从Internet上消失。它是目前最强大且最难防御的武器之一。
2.1 DDoS表现在的形式
DDoS有两个主要表现。一种是流量攻击,主要是对网络带宽的攻击,即大量的攻击报文导致网络带宽被阻塞,合法的网络报文被虚假的攻击报文淹没,无法到达主机。另一种是资源耗尽攻击,主要是对服务器主机的政治攻击,即大量的攻击报文导致主机内存耗尽或CPU核心和应用程序耗尽,导致无法提供网络资源。服务。
2.2攻击识别
识别流量攻击的主要方法有两种:
1)Ping测试:如果发现Ping超时或严重的数据包丢失,则可能会受到攻击。如果发现同一交换机上的服务器也无法访问,则可以将其基本上确定为流量攻击。测试的前提是,受害主机和服务器之间的ICMP协议不会被路由器和防火墙之类的设备阻止。
2)Telnet测试:它的显着特征是远程终端无法连接到服务器。很容易判断相对的流量攻击和资源耗尽攻击。如果网站访问突然突然变慢或无法访问,但可以ping通,则很可能受到攻击。在Netstat-na命令上,观察到大量SYN_RECEIVED,TIME_WAIT,FIN_WAIT_1和其他状态,并且EASTBLISHED很少,可以确定为资源耗尽攻击。特点是受害主机无法ping通或数据包丢失严重,并且同一交换机上的服务器正常ping通。原因是该攻击导致系统内核或应用程序CPU利用率达到100%,并且无法响应Ping命令,但是由于仍有带宽,因此可以对同一交换机上的主机执行ping操作。
三,DDoS攻击方法
DDoS攻击方法及其变种很多。就其攻击方法而言,有三种最受欢迎的DDoS攻击方法。
3.1 SYN / ACK Flood攻击
这种攻击方法是经典有效的DDoS攻击方法,主要通过向受害主机发送伪造了源P和源端口的大量SYN或ACK数据包,从而杀死主机的缓存资源,从而杀死各种系统的网络服务。精疲力尽或忙于发送响应数据包并导致拒绝服务。由于源是由伤害引起的,因此很难跟踪。缺点是难以实现,需要高带宽僵尸主机的支持。少量此类攻击将导致主机服务器不可访问。 ,但可以在服务器上ping通使用上面的Netstat-na命令将观察到存在大量的SYN RECEIVED状态。大量此类攻击将导致Ping失败,TCP / IP堆栈失败和系统冻结,即键盘和鼠标将不响应。普通防火墙通常无法抵抗此类攻击。
攻击过程如图2所示。正常的TCP连接是3次握手。系统B向系统A发送SYN / ACK报文后,停止在SYN RECV状态,等待系统A返回ACK报文。这时,系统B准备建立连接已分配的资源。如果攻击者系统A使用伪造的源IP,则系统B将始终处于“半连接”等待状态,直到超时时间从连接队列中清除连接为止;否则,系统B将始终处于“半连接”等待状态。由于计时器设置和连接队列已满等,在短时间内,只要系统A继续向系统B和系统B继续高速发送带有伪造源IP的连接请求,系统A就可以成功攻击系统B。 B无法再响应其他普通连接请求。
3.2 TCP全连接攻击
此类攻击旨在绕过常规防火墙的检查。通常,常规防火墙通常具有过滤DOS攻击的能力,例如TearDrop和Land。但是,普通的TCP连接被保留。许多网络服务程序(例如IIS,Apache和其他Web服务器)可以接受的TCP连接的数量是有限的。一旦存在大量TCP连接,即使它们正常连接,也将非常缓慢地访问该网站,甚至无法访问该网站。 TCP完全连接攻击是通过许多僵尸进行的。主机与受害服务器不断建立大量TCP连接,直到服务器的内存和其他资源用尽,并拖拉服务器端为止,从而导致拒绝服务。这种攻击的特征在于,它可以绕过常规的防火墙保护来达到攻击目的。缺点必须找到很多僵尸主机,并且由于僵尸主机的IP是公开的,因此这种DDO的攻击者很容易被跟踪。
3.3 TCP脚本脚本攻击
该攻击主要针对具有脚本程序(例如ASP,JSP,PHP,CGI等)和调用数据库(例如MSSQL Server,My SQL Server,Oracle等)的网站系统。特征是建立正常的TCP连接与服务器一起,并且脚本程序不断地提交查询,列表和其他调用,这些查询,列表和其他调用消耗了大量的数据库资源,典型的攻击方法既大又小。一般来说,通过提交GET或POST命令对客户端的消耗和带宽使用几乎可以忽略不计,并且服务器可能必须从成千上万的记录中找出一条记录才能处理此请求。该处理过程资源消耗巨大。通用数据库服务器很少支持同时执行数百个查询命令,但这对客户端来说很容易。因此,攻击者只需要通过Proxy代理向主机服务器提交大量邮件。查询命令将在短短几分钟内消耗服务器资源,并导致拒绝服务。常见的现象是网站像蜗牛一样慢,ASP程序失败,PHP与数据库的连接失败,并且数据库主程序占用较高的CPU。这种攻击的特点是它可以完全绕过普通的防火墙保护,并且很容易找到一些Poxy代理来进行攻击。缺点是将大大减少仅包含静态页面的网站的影响,并且某些代理将暴露DDOS攻击者的IP地址。
四,DDoS防护策略
DDoS保护是一项系统工程。仅依靠某个系统或产品来阻止DDoS是不现实的。可以肯定地说,目前不可能完全消除DDoS,但是可以通过适当的措施抵抗大多数DDoS攻击。这是根据攻击和防御的成本来完成的。如果通过适当的方法增强了抵御DDoS的能力,则意味着攻击者的攻击成本将增加,并且绝大多数攻击者将无法继续。放弃等同于成功抵抗DDoS攻击。
4.1使用高性能网络设备
Anti-DDoS攻击必须首先确保网络设备不会成为瓶颈。因此,在选择路由器,交换机,硬件防火墙和其他设备时,请尝试选择具有较高声誉和良好声誉的产品。此外,最好与网络提供商建立特殊关系或达成协议。当发生大量攻击时,要求他们限制网络点的流量以抵抗某些类型的DDoS攻击非常有效。
4.2尽量避免使用NAT
无论是路由器还是墙体硬件保护设备,都必须避免使用网络地址转换NAT,但必须使用NAT除外,因为使用此技术会大大降低网络通信容量。原因很简单,因为NAT需要来回转换地址。在此过程中需要网络数据包的校验和执行计算,因此浪费了大量CPU时间。
4.3保证足够的网络带宽
网络带宽直接决定了抵御攻击的能力。如果只有10M带宽,则无论采取什么措施,都很难与当前的SYNFlood攻击作斗争。目前,至少应选择100M共享带宽。 1000M带宽会更好,但是需要注意,主机上的1000M网卡并不表示其网络带宽为千兆位。如果将其连接到100M交换机,则其实际带宽将不超过100M,然后将其连接到100M带宽。以上内容并不意味着存在100M的带宽,因为网络服务提供商可能会将交换机上的实际带宽限制为10M。
4.4升级主机服务器硬件
在保证网络带宽的前提下,尝试改善硬件配置。为了有效地应对每秒100,000个SYN攻击数据包,服务器配置至少应为:P4 2.4G / DDR512M / SCSI-HD,而关键作用主要是CPU和内存,内存必须选择DDR高速内存,硬盘应该尽可能选择SCSI,以确保较高且稳定的硬件性能,否则将付出较高的性能代价。
4.5将网站设为静态页面
许多事实证明,使网站尽可能地静态不仅可以大大提高反攻击能力,而且还给黑客带来很多麻烦。到目前为止,还没有出现HTML溢出,新浪,搜狐,网易这样的门户网站,主要是静态页面。
此外,最好拒绝在需要调用数据库的脚本中使用代理进行访问,因为经验表明,使用代理访问我们网站的80%是恶意的。
五,总结
DDoS攻击不断发展,变得越来越强大,秘密,更具针对性和更加复杂。它已成为对Internet安全的主要威胁。同时,随着系统的更新,新的系统漏洞继续出现。 DDoS攻击技能的提高也增加了DDoS保护的难度。有效地应对此类攻击是一项系统工程。它不仅需要技术人员来探索保护手段,而且网络用户还必须具有抵御网络攻击的基本意识和保护手段。技术手段和人员素质的结合可以最大程度地提高网络保护的有效性。