DDOS攻击原理介绍,可怕的DDos攻击
目錄:
- DDOS的定義
- 攻擊的方式
- 攻擊的現(xiàn)象
- Ddos攻擊的危害
- 僵尸網(wǎng)絡(luò)定義
- 僵尸網(wǎng)絡(luò)的類型
- 重大歷史事件
一. DDOS的定義
- 分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常該攻擊方式利用目標(biāo)系統(tǒng)網(wǎng)絡(luò)服務(wù)功能缺陷或者直接消耗其系統(tǒng)資源,使得該目標(biāo)系統(tǒng)無法提供正常的服務(wù)。
二. 攻擊的方式
網(wǎng)絡(luò)層DDos攻擊
(1)SYN flood攻擊
- SYN flood攻擊主要利用了TCP三次握手過程中的bug,我們知道TCP三次握手過程是要建立連接的雙方發(fā)送SYN,SYN+ACK,ACK數(shù)據(jù)包,而當(dāng)攻擊方隨意構(gòu)造源ip去發(fā)送SYN包時(shí),服務(wù)器返回的SYN+ACK就不能得到應(yīng)答(因?yàn)閕p是隨意構(gòu)造的),此時(shí)服務(wù)器就會(huì)嘗試重新發(fā)送,并且會(huì)有至少30s的等待時(shí)間,導(dǎo)致資源飽和服務(wù)不可用,此攻擊屬于慢型dos攻擊。
(2)UDP flood攻擊
- 由于udp是一種無連接的協(xié)議,因此攻擊者可以偽造大量的源IP地址去發(fā)送udp包,此種攻擊屬于大流量攻擊。正常應(yīng)用情況下,UDP包雙向流量會(huì)基本相等,因此在消耗對(duì)方資源的時(shí)候也在消耗自己的資源。
(3)ICMP flood攻擊
- 此攻擊屬于大流量攻擊,其原理就是不斷發(fā)送不正常的ICMP包(所謂不正常就是ICMP包內(nèi)容很大),導(dǎo)致目標(biāo)帶寬被占用,但其本身資源也會(huì)被消耗。并且目前很多服務(wù)器都是禁ping的(在防火墻在可以屏蔽icmp包),因此這種方式已經(jīng)落伍。
應(yīng)用層DDos攻擊
(1)CC攻擊(Challenge Collapasar)
- CC攻擊的原理,就是針對(duì)消耗資源比較大的頁面不斷發(fā)起不正常的請(qǐng)求,導(dǎo)致資源耗盡。因此在發(fā)送CC攻擊前,我們需要尋找加載比較慢,消耗資源比較多的網(wǎng)頁,比如需要查詢數(shù)據(jù)庫的頁面、讀寫硬盤文件的等。通過cc攻擊,使用爬蟲對(duì)某些加載需要消耗大量資源的頁面發(fā)起http請(qǐng)求。
(2)HTTP POST DOS
- 原理是在發(fā)送HTTP POST包時(shí),指定一個(gè)非常大的Content-Length值,然后以極低的速度發(fā)包,保持連接不斷,導(dǎo)致服務(wù)飽和不可用。
DDoS攻擊通過大量的請(qǐng)求占用大量網(wǎng)絡(luò)資源,以達(dá)到癱瘓網(wǎng)絡(luò)的目的。攻擊方式可分為以下幾種:
- 通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊;
- 通過向服務(wù)器提交大量請(qǐng)求,使服務(wù)器超負(fù)荷;
- 阻斷某一用戶訪問服務(wù)器;
- 阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。
三. 攻擊的現(xiàn)象
出現(xiàn)DDOS攻擊時(shí),往往會(huì)有以下特征:
- 被攻擊主機(jī)上有大量等待的TCP連接;
- 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包;
- 源地址為假 制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞,使受害主機(jī)無法正常和外界通訊;
- 利用受害主機(jī)提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請(qǐng)求,使主機(jī)無法處理所有正常請(qǐng)求;
- 嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。
四. Ddos攻擊的危害
- DDOS采取的攻擊手段就是分布式的攻擊方式,在攻擊的模式改變了傳統(tǒng)的點(diǎn)對(duì)點(diǎn)的攻擊模式,使攻擊方式出現(xiàn)了沒有規(guī)律的情況,而且在進(jìn)行攻擊的時(shí)候,通常使用的也是常見的協(xié)議和服務(wù),這樣只是從協(xié)議和服務(wù)的類型上是很難對(duì)攻擊進(jìn)行區(qū)分的。在進(jìn)行攻擊的時(shí)候,攻擊數(shù)據(jù)包都是經(jīng)過偽裝的,在源IP
地址上也是進(jìn)行偽造的,這樣就很難對(duì)攻擊進(jìn)行地址的確定,在查找方面也是很難的。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的。
DDos防御
(1)盡可能對(duì)系統(tǒng)加載最新補(bǔ)丁,并采取有效的合規(guī)性配置,降低漏洞利用風(fēng)險(xiǎn);(2)采取合適的安全域劃分,配置防火墻、入侵檢測和防范系統(tǒng),減緩攻擊;(3)采用分布式組網(wǎng)、負(fù)載均衡、提升系統(tǒng)容量等可靠性措施,增強(qiáng)總體服務(wù)能力。(4)發(fā)動(dòng)DDOS攻擊的主要攻擊來源是分布在世界各地的僵尸網(wǎng)絡(luò)。五. 僵尸網(wǎng)絡(luò)定義
- 僵尸網(wǎng)絡(luò)(Botnet)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計(jì)算機(jī),往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊,如分布式拒絕服務(wù)攻擊(DDoS)、海量垃圾郵件等。
- 需要發(fā)動(dòng)攻擊時(shí),攻擊者通過中心服務(wù)器發(fā)送預(yù)先定義好的控制指令,讓被感染主機(jī)執(zhí)行惡意行為,如發(fā)起DDos攻擊、竊取主機(jī)敏感信息、更新升級(jí)惡意程序等。
六. 僵尸網(wǎng)絡(luò)的類型
Botnet根據(jù)分類標(biāo)準(zhǔn)的不同,可以有多許多種分類。
按程序種類
-
Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的僵尸工具。防病毒廠商Spphos
列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析),這個(gè)數(shù)目也在穩(wěn)步增長。僵尸工具本身使用跨平臺(tái)的C++寫成。 -
Agobot最新可獲得的版本代碼清晰并且有很好的抽象設(shè)計(jì),以模塊化的方式組合,添加命令或者其他漏洞的掃描器及攻擊功能非常簡單,并提供像文件和進(jìn)程隱藏的Rootkit
-
能力在攻陷主機(jī)中隱藏自己。在獲取該樣本后對(duì)它進(jìn)行逆向工程是比較困難的,因?yàn)樗吮O(jiān)測調(diào)試器(Softice和O11Dbg)和虛擬機(jī)(VMware 和Virtual PC)的功能。
-
SDBot/RBot/UrBot/SpyBot/。這個(gè)家族的惡意軟件目前是最活躍的bot程序軟件,SDBot
由C語言寫成。它提供了和Agobot 一樣的功能特征,但是命令集沒那么大,實(shí)現(xiàn)也沒那么復(fù)雜。它是基于IRC協(xié)議的一類bot程序。 -
GT-Bots是基于當(dāng)前比較流行的IRC客戶端程序mIRC編寫的,GT是(GlobalThreat)的縮寫。這類僵尸工具用腳本和其他二進(jìn)制文件開啟一個(gè)mIRC聊天客戶端,但會(huì)隱藏原mIRC窗口。通過執(zhí)行mIRC腳本連接到指定的服務(wù)器頻道上,等待惡意命令。這類bot程序由于捆綁了mIRC程序,所以體積會(huì)比較大,往往會(huì)大于1MB。
按控制方式
- RC Botnet。是指控制和通信方式為利用IRC協(xié)議的Botnet,形成這類Botnet的主要bot程序有spybot、GTbot和SDbot,目前絕大多數(shù)Botnet屬于這一類別。
- AOL Botnet。與IRCBot類似,AOL為美國在線提供的一種即時(shí)通信服務(wù),這類Botnet是依托這種即時(shí)通信服務(wù)形成的網(wǎng)絡(luò)而建立的,被感染主機(jī)登錄到固定的服務(wù)器上接收控制命令。AIM-Canbot和Fizzer就采用了AOL Instant Messager實(shí)現(xiàn)對(duì)Bot的控制。
- P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客戶端,可以連入采用了Gnutella技術(shù)(一種開放源碼的文件共享技術(shù))的服務(wù)器,利用WASTE文件共享協(xié)議進(jìn)行相互通信。由于這種協(xié)議分布式地進(jìn)行連接,就使得每一個(gè)僵尸主機(jī)可以很方便地找到其他的僵尸主機(jī)并進(jìn)行通信,而當(dāng)有一些bot被查殺時(shí),并不會(huì)影響到Botnet的生存,所以這類的Botnet具有不存在單點(diǎn)失效但實(shí)現(xiàn)相對(duì)復(fù)雜的特點(diǎn)。Agobot和Phatbot采用了P2P的方式
七. 重大歷史事件
- 歷史上有名ddos的攻擊事件很多,涉及行業(yè)包括政治,經(jīng)濟(jì),軍事等各個(gè)行業(yè),下面列舉一下2016年比較有名的幾起DDOS事件
1. 暴雪DDoS攻擊
- LizardSquad組織對(duì)暴雪公司戰(zhàn)網(wǎng)服務(wù)器發(fā)起DDoS攻擊,包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》在內(nèi)的重要游戲作品離線宕機(jī),玩家無法登陸。名為“Poodle
Corp”黑客組織也曾針對(duì)暴雪發(fā)起多次DDoS攻擊 - 攻擊不僅導(dǎo)致戰(zhàn)網(wǎng)服務(wù)器離線,平臺(tái)多款游戲均受到影響,包括《守望先鋒》,《魔獸世界》、《暗黑3》以及《爐石傳說》等,甚至連主機(jī)平臺(tái)的玩家也遇到了登陸困難的問題。
2.珠寶店遭遇25000個(gè)攝像頭組成的僵尸網(wǎng)絡(luò)攻擊
一家普通的珠寶在線銷售網(wǎng)站遭到了黑客的攻擊,美國安全公司Sucuri在對(duì)這一事件進(jìn)行調(diào)查時(shí)發(fā)現(xiàn),該珠寶店的銷售網(wǎng)站當(dāng)時(shí)遭到了泛洪攻擊,在每秒鐘35000次的HTTP請(qǐng)求(垃圾請(qǐng)求)之下,該網(wǎng)站便無法再提供正常的服務(wù)。
當(dāng)時(shí),Sucuri公司的安全研究人員曾嘗試阻止這次網(wǎng)絡(luò)攻擊,但是這一僵尸網(wǎng)絡(luò)卻進(jìn)一步提升了垃圾請(qǐng)求的發(fā)送頻率,隨后該網(wǎng)絡(luò)每秒會(huì)向該商店的銷售網(wǎng)站發(fā)送超過50000次垃圾HTTP請(qǐng)求。
安全研究人員對(duì)此次攻擊中的數(shù)據(jù)包來源進(jìn)行分析后發(fā)現(xiàn),這些垃圾請(qǐng)求全部來源于聯(lián)網(wǎng)的監(jiān)控?cái)z像頭,25000個(gè)攝像頭組成僵尸網(wǎng)絡(luò)發(fā)起DDoS攻擊,成為已知最大的CCTV(閉路電視攝像頭)僵尸網(wǎng)絡(luò)。
3. Anonymous組織發(fā)起的“Operation OpIcarus”攻擊
Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽靈黑客小隊(duì))等黑客小組,針對(duì)全球范圍內(nèi)的多家銀行網(wǎng)站,發(fā)動(dòng)了短期性網(wǎng)絡(luò)攻擊,Anonymous將此次攻擊行動(dòng)稱為:“Operation OpIcarus”。
此次選定的攻擊目標(biāo)包括約旦國家央行、韓國國家央行、摩納哥央行以及一些設(shè)立在摩納哥的企業(yè)銀行網(wǎng)站等,隨后黑客們對(duì)其實(shí)施了一系列的DDoS攻擊。這次攻擊導(dǎo)致約旦、韓國以及摩納哥等央行網(wǎng)絡(luò)系統(tǒng)陷入了半小時(shí)的癱瘓狀態(tài),使其無法進(jìn)行正常工作,而黑山國家銀行網(wǎng)絡(luò)系統(tǒng)則被迫關(guān)閉,停止服務(wù)。
4. 精準(zhǔn)的NS1攻擊
DNS和流量管理供應(yīng)商N(yùn)S1(ns1.com)遭遇了歷時(shí)10天的針對(duì)性大規(guī)模DDoS攻擊,它通過執(zhí)行上游流量過濾和使用基于行為的規(guī)則屏蔽了大部分攻擊流量。
攻擊者沒有使用流行的DNS放大攻擊,而是向NS1的域名服務(wù)器發(fā)送編程生成的DNS查詢請(qǐng)求,攻擊流量達(dá)到了每秒5000萬到6000萬 數(shù)據(jù)包,數(shù)據(jù)包表面上看起來是真正的查詢請(qǐng)求,但它想要解析的是不存在于NS1客戶網(wǎng)絡(luò)的主機(jī)名。攻擊源頭也在東歐、俄羅斯、中國和美國的不同僵尸網(wǎng)絡(luò)中輪換。
5. 五家俄羅斯銀行遭遇DDoS攻擊
俄羅斯五家主流大型銀行遭遇長達(dá)兩天的DDoS攻擊。來自30個(gè)國家2.4萬臺(tái)計(jì)算機(jī)構(gòu)成的僵尸網(wǎng)絡(luò)持續(xù)不間斷發(fā)動(dòng)強(qiáng)大的DDOS攻擊。
卡巴斯基實(shí)驗(yàn)室提供的分析表明,超過50%的僵尸網(wǎng)絡(luò)位于以色列、臺(tái)灣、印度和美國。每波攻擊持續(xù)至少一個(gè)小時(shí),最長的不間斷持續(xù)超過12個(gè)小時(shí)。攻擊的強(qiáng)度達(dá)到每秒發(fā)送66萬次請(qǐng)求。卡巴斯基實(shí)驗(yàn)室還指出,有些銀行反復(fù)遭受被攻擊。
6. Mirai僵尸網(wǎng)絡(luò)攻擊KrebsonSecurity
Mirai是一個(gè)十萬數(shù)量級(jí)別的僵尸網(wǎng)絡(luò),由互聯(lián)網(wǎng)上的物聯(lián)網(wǎng)設(shè)備(網(wǎng)絡(luò)攝像頭等)構(gòu)成,8月開始構(gòu)建,9月出現(xiàn)高潮。攻擊者通過猜測設(shè)備的默認(rèn)用戶名和口令控制系統(tǒng),將其納入到Botnet中,在需要的時(shí)候執(zhí)行各種惡意操作,包括發(fā)起DDoS攻擊,對(duì)互聯(lián)網(wǎng)造成巨大的威脅。
安全研究機(jī)構(gòu)KrebsonSecurity也遭遇Mirai攻擊,當(dāng)時(shí)被認(rèn)為是有史以來最大的一次網(wǎng)絡(luò)攻擊之一。然而沒過多久,法國主機(jī)服務(wù)供應(yīng)商OVH也遭到了兩次攻擊,罪魁禍?zhǔn)滓廊皇荕irai。據(jù)悉,KrebsonSecurity被攻擊時(shí)流量達(dá)到了665GB,而OVH被攻擊時(shí)總流量則超過了1TB。
7. 美國大半個(gè)互聯(lián)網(wǎng)下線事件
說起DDOS攻擊就不得不提Dyn事件。10月21日,提供動(dòng)態(tài)DNS服務(wù)的Dyn
DNS遭到了大規(guī)模DDoS攻擊,攻擊主要影響其位于美國東區(qū)的服務(wù)。 此次攻擊導(dǎo)致許多使用DynDNS服務(wù)的網(wǎng)站遭遇訪問問題,其中包括
GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和
Shopify。攻擊導(dǎo)致這些網(wǎng)站一度癱瘓,Twitter甚至出現(xiàn)了近24小時(shí)0訪問的局面。
總結(jié)
以上是生活随笔為你收集整理的DDOS攻击原理介绍,可怕的DDos攻击的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 第四十期:九个对Web开发者最有用的Py
- 下一篇: 数据结构 面试题