初識DOS攻擊與防御

• DOS攻擊概念
  所謂拒絕服務攻擊，通常是利用傳輸協議中的某個弱點、系統或服務存在的漏洞，對目標系統發起大規模的進攻，使其無法處理合法用戶的正常請求和提供正常服務，最終導致網絡服務癱瘓，甚至系統死機。簡言之，DOS攻擊是使目標系統癱瘓，是一種典型的損人不利己的攻擊。
• DOS攻擊原因
  內因：網絡協議的安全缺陷。
  外因：利益驅使的蓄意行為，即攻擊者故意為之；偶然、無意事件。
• DOS攻擊原理
  攻擊原理：利用合理的請求占用過多的服務資源（網絡帶寬、文件系統空間容量、開放的進程、允許的連接），使得服務超載，無法響應正常的服務請求。
• DOS攻擊方法
  （1）耗盡計算機資源，如帶寬、內存、磁盤空間、處理器時間；
  （2）破壞配置信息，如路由信息；
  （3）破壞狀態信息，如TCP鏈接中斷；
  （4）破壞網絡硬件；
  （5）破壞通信介質，阻擋正常通信。

DOS常見攻擊技術

• SYN Flood（SYN洪水攻擊）
  基本思想：利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負載或內存不足）的攻擊方式。
  攻擊過程：在三次握手過程中，假設客戶端發送SYN分組后突然死機或掉線，服務器端發送SYN/ACK應答后無法收到客戶端反饋的ACK分組，即第三次握手無法完成，這種情況被稱為半開的TCP連接狀態；此時，服務器端一般會重復發送ACK分組3-5次，并等待一段時間后丟棄這個半開連接，這段時間稱為SYN Timeout，大約為30秒至2分鐘。
  
  如果一個惡意攻擊者大量模擬以上情況，偽造大量源IP地址，服務器端為了維護一個非常大的半開連接列表而消耗非常多的資源，如果服務器的TCP/IP棧不夠強大，最后可能會導致堆棧溢出或崩潰，即使服務器端足夠強大，服務器端將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求，此時，從正常客戶的角度來看，服務器失去了響應，這種情況稱為服務器端受到了SYN Flood攻擊。
  
  攻擊者實施這種攻擊一般有兩種方法：
  （1）向目標端發送SYN分組，并確保發送分組的地址不會應答SYN/ACK分組，這需要監聽數據包，并且在主機或路由器上進行阻斷；
  （2）偽裝成當時不在線的IP地址，向目標機發動攻擊。
  防御措施：
  （1）縮短SYN Timeout時間；
  （2）設置SYN Cookie，即給每一個連接請求的IP地址分配一個Cookie，如果短時間內連續收到某個IP的重復的SYN報文，就可以認定受到了該攻擊，以后該IP地址發來的數據包將被丟棄；
  （3）設置路由器和防火墻在給定時間內只允許數量有限的半開TCP連接發生。
• ICMP Flood
  Smurf Flood
  攻擊過程：攻擊者發送源地址偽造的ICMP數據包，目的地址設為某個網絡的地址，源地址設為被攻擊主機（一般指web服務器），收到此ICMP數據包的主機會向源地址返回應答包，因此該應答包都指向了被攻擊主機，使得被攻擊主機在某一個時間段內被成千上萬的數據包淹沒，從而造成拒絕服務。
  
  防御措施：配置路由器禁止IP廣播包進網
  Ping of Death（死亡之Ping）
  攻擊過程：發送一些尺寸超大（大于64K）的ICMP包。
  防御措施：最有效防御方式是禁止ICMP報文通過網絡安全設備。
• Land 攻擊（Local Area Network Denial Attack/局域網拒絕服務攻擊）
  攻擊過程：發送具有相同源地址和目標地址的欺騙數據包，即攻擊者構造特殊的SYN包，目的地址和源地址都是受害主機，受害主機接收該SYN包后，會向自己回復SYN/ACK包，第三次握手時自己回復給自己一個ACK包，大量這樣的數據包會使目標主機建立很多無向連接，占用大量系統資源，最終導致崩潰。
  
  防御措施：
  （1）防火墻攔截攻擊包；
  （2）操作系統修復漏洞；
  （3）配置路由器，屏蔽源地址與目標地址相同的數據包。
• TearDrop 攻擊（淚滴攻擊）
  攻擊過程：是基于UDP的病態分片數據包的攻擊方法，即攻擊者向目標主機發送大量的、過大的錯位IP碎片，某些操作系統收到重疊偏移的偽造分片數據包時，就會出現系統崩潰或重啟。
  
  現象：對于Windows系統會導致藍屏死機，并顯示STOP0x0000000A錯誤。
  防御方法：添加系統補丁程序，丟棄收到的病態分片數據包并對這種攻擊進行審計。

暫存：

認識DDOS攻擊

DDOS攻擊：Distributed Denial of Service分布式拒絕服務攻擊，利用合理的請求造成資源過載，導致服務不可用的一種攻擊方式，是一種分布式的、協同的大規模攻擊方式。
特點：利用若干個網絡節點（肉雞、僵尸網絡）同時向目標發起攻擊。

CC攻擊

原理：對一些資源消耗較大的應用頁面不斷發起正常請求，以達到造成消耗服務器端資源的目的。
防御方法：
（1）優化服務器性能：應用代碼性能優化、網絡架構優化。
（2）限制請求頻率：可以通過IP地址和Cookie定位一個客戶端，針對過頻繁訪問，采取重定向頁面。
（3）驗證碼機制：有效阻止自動化重放攻擊的有效行為之一。

總結

以上是生活随笔為你收集整理的DOS拒绝服务攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。