0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

揭秘DDOS攻击的基本概念及DDOS攻击分类

Linux爱好者 来源:简书 作者:Kali_Ma 2021-09-24 10:36 次阅读

DDOS简介

DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。

就如酒店里的房间是有固定的数量的,比如一个酒店有50个房间,当50个房间都住满人之后,再有新的用户想住进来,就必须要等之前入住的用户先出去。如果入住的用户一直不出去,那么酒店就无法迎接新的用户,导致酒店负荷过载,这种情况就是“拒绝服务”。如果想继续提供资源,那么酒店应该提升自己的资源量,服务器也是同样的道理。

拒绝服务攻击的基本概念

**拒绝服务:**拒绝服务是指应用系统无法正常对外提供服务的状态,如网络阻塞、系统宕机、响应缓慢等都属于拒绝服务的表现。

拒绝服务攻击(DOS):拒绝服务攻击(Denial of Service Attack)是一种通过各种技术手段导致目标系统进入拒绝服务状态的攻击,常见手段包括利用漏洞、消耗应用系统性能和消耗应用系统带宽。

分布式拒绝服务攻击(DDOS):分布式拒绝服务攻击(Distributed Denial of Service Attack)是拒绝服务攻击的高级手段,利用分布全球的僵尸网络发动攻击,能够产生大规模的拒绝服务攻击。

DDOS攻击分类

(1)漏洞型(基于特定漏洞进行攻击):只对具备特定漏洞的目标有效,通常发送特定数据包或少量的数据包即可达到攻击效果。

(2)业务型(消耗业务系统性能额为主):与业务类型高度相关,需要根据业务系统的应用类型采取对应的攻击手段才能达到效果,通常业务型攻击实现效果需要的流量远低于流量型。

(3)流量型(消耗带宽资源为主):主要以消耗目标业务系统的带宽资源为攻击手段,通常会导致网络阻塞,从而影响正常业务。

拒绝服务攻击处理流程

(1)现象分析:根据发现的现象、网络设备和服务的情况初步判断是否存在拒绝服务攻击。

(2)抓包分析:通过抓包分析的方式进一步了解攻击的方式和特征。

(3)启动对抗措施:最后启动对抗措施进行攻击对抗,可以进行资源提升、安全加固、安全防护等措施。

DDOS流量包分析

SYN Flood攻击

在正常的情况下,TCP三次握手过程如下

客户端向服务器端发送一个SYN请求包,包含客户端使用的端口号和初始序列号x。

服务器端收到客户端发送过来的SYN请求包后,知道客户端想要建立连接,于是向客户端发送一个SYN请求包和ACK回应包,包含确认号x+1和服务器端的初始序列号y。

客户端收到服务器端返回的SYN请求包和ACK回应包后,向服务器端返回一个确认号y+1和序号x+1的ACK请求包,三次握手完成,TCP连接建立成功。

SYN Flood攻击原理:

首先是客户端发送一个SYN请求包给服务器端,服务器端接受后会发送一个SYN+ACK包回应客户端,最后客户端会返回一个ACK包给服务器端来实现一次完整的TCP连接。Syn flood攻击就是让客户端不返回最后的ACK包,这就形成了半开连接,TCP半开连接是指发送或者接受了TCP连接请求,等待对方应答的状态,半开连接状态需要占用系统资源以等待对方应答,半开连接数达到上限,无法建立新的连接,从而造成拒绝服务攻击。

受害靶机的流量包分析

利用wireshark软件抓取数据包的数据,通过筛选器筛选出发送包频率多的ip地址。

筛选218.xxx.xxx.87,分析协议占比,发现tcp和http占比比较大

筛选tcp中的syn数据包,发现syn数据包占比为82.9,可以判断应该为SYN FLOOD拒绝服务攻击

UDP Flood攻击

UDP Flood攻击原理:

由于UDP属于无连接协议,消耗的系统资源较少,相同条件下容易产生更高的流量,是流量型攻击的主要手段。当受害系统接收到一个UDP数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候,系统就会造成拒绝服务攻击,因此,UDP FLOOD成为了流量型拒绝服务攻击的主要手段。

受害靶机的流量包分析

利用wireshark软件抓取数据包的数据,通过筛选器筛选出发送包频率多的ip地址。

筛选117.xxx.xxx.0网段,分析协议占比,可以看到受害靶机接受的UDP包比较多。

可以看到UDP包的大小都是固定的172bytes。

可以看出都是发送udp包,udp包大小都是相同的,可以判断是udp flood攻击。

慢速拒绝服务攻击

apt install slowhttptest -y

安装slowhttptest

慢速拒绝服务攻击原理:

完整的http请求包是以 结尾,慢速拒绝服务攻击时仅发送 ,少发送一个 ,服务器认为请求还未发完,服务器就会一直等待直至超时。

slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u “http://10.10.10.134” -x 200 -p 3

(测试时建立5000连接数-c;选择slowloris模式-H;生成cvs和HTML文件的统计数据-G;生成的文件名my_header_stats -o;指定发送数据间的间隔10秒 -i 每秒连接数5000-t;指定url-u;指定发送的最大数据长度200 -x;指定等待时间来确认DOS攻击已经成功-p)

80c211d6-10e0-11ec-8fb8-12bb97331649.png

观察靶机的cpu和网络流量明显增加很多

受害靶机的流量包分析

攻击机ip:10.10.10.129,靶机ip:10.10.10.134

[PSH,ACK]是攻击机发送有数据的ACK包给靶机,[ACK]包是靶机回复攻击机的数据包。

可以看到没有发送2次连续的 ,以至于靶机要一直等待。

http协议比例为36.6,tcp协议比例为87.4

筛选ack数据包,占比率98.2,不符合常态,综上可以判断为慢速拒绝服务攻击

ICMP Flood攻击

ICMP Flood攻击原理:

当 ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流,但是由于ICMP协议报文被丢弃不影响大多数系统运行,所以容易被防护。

利用hping3造成ICMP Flood攻击

hping3 -q -n -a 1.1.1.1 –icmp -d 200 –flood 10.10.10.134

81a02df4-10e0-11ec-8fb8-12bb97331649.jpg

观察靶机的cpu和网络流量明显增加很多

受害靶机的流量包分析

伪造的源ip:1.1.1.1发送大量icmp包给目标ip:10.10.10.134

筛选出同一IP发送大量ICMP包,且占比率86.0,判断为ICMP拒绝服务攻击。

后记

拒绝服务攻击造成的危害是比较大的,本质是对有限资源的无限制的占用所造成的,所以在这方面需要限制每个不可信任的资源使用中的分配额度,或者提高系统的有限资源等方式来防范拒绝服务攻击。

编辑:jq

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • DDoS
    +关注

    关注

    3

    文章

    167

    浏览量

    23021
  • DoS
    DoS
    +关注

    关注

    0

    文章

    127

    浏览量

    44472
  • 数据包
    +关注

    关注

    0

    文章

    247

    浏览量

    24334
  • 漏洞
    +关注

    关注

    0

    文章

    203

    浏览量

    15342
  • DDoS攻击
    +关注

    关注

    2

    文章

    73

    浏览量

    5769

原文标题:带你破解 DDOS 攻击的原理

文章出处:【微信号:LinuxHub,微信公众号:Linux爱好者】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    DDoS对策是什么?详细解说DDoS攻击难以防御的理由和对策方法

    攻击规模逐年增加的DDoS攻击。据相关调查介绍,2023年最大的攻击甚至达到了700Gbps。 为了抑制DDoS
    的头像 发表于 09-06 16:08 254次阅读

    cdn为什么能防止ddos攻击呢?

    Cdn技术的发展相当速度,除了可以为网页进行简单的提速外,还可以更好的保护网站安全的运行。也就是保护它不被黑客的攻击。但很多人对它能抵抗ddos攻击,并不是特别了解。那么抗攻击cdn为
    的头像 发表于 09-04 11:59 126次阅读

    DDoS是什么?遇到后有哪些解决方法?

    随着网际网络的发达,DDos攻击手法也变得越来越多元且难以防范,尤其官方网站、线上交易平台、使用者登入页面皆為攻击者之首选目标,DDos攻击
    的头像 发表于 08-30 13:03 205次阅读
    <b class='flag-5'>DDoS</b>是什么?遇到后有哪些解决方法?

    Steam历史罕见大崩溃!近60个僵尸网络,DDoS攻击暴涨2万倍

    火伞云 8 月 27 日消息,8 月 24 日晚间,全球知名游戏平台Steam遭遇严重DDoS攻击,导致大量用户无法登录或玩游戏,话题“steam崩了”迅速登上微博热搜。据安全机构奇安信XLab
    的头像 发表于 08-27 10:44 239次阅读
    Steam历史罕见大崩溃!近60个僵尸网络,<b class='flag-5'>DDoS</b><b class='flag-5'>攻击</b>暴涨2万倍

    ddos造成服务器瘫痪后怎么办

    在服务器遭受DDoS攻击后,应立即采取相应措施,包括加强服务器安全、使用CDN和DDoS防御服务来减轻攻击的影响。rak小编为您整理发布ddos
    的头像 发表于 08-15 10:08 220次阅读

    服务器被ddos攻击多久能恢复?具体怎么操作

    服务器被ddos攻击多久能恢复?如果防御措施得当,可能几分钟至几小时内就能缓解;若未采取预防措施或攻击特别猛烈,则可能需要几小时甚至几天才能完全恢复。服务器被DDoS
    的头像 发表于 08-13 09:56 360次阅读

    香港高防服务器是如何防ddos攻击

    香港高防服务器,作为抵御分布式拒绝服务(DDoS)攻击的前沿阵地,其防御机制结合了硬件、软件和网络架构的多重策略,为在线业务提供了坚实的保护屏障。以下是对香港高防服务器防御DDoS攻击
    的头像 发表于 07-18 10:06 197次阅读

    DDoS有哪些攻击手段?

    DDoS攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当
    的头像 发表于 06-14 15:07 348次阅读

    高防CDN是如何应对DDoS和CC攻击

    高防CDN(内容分发网络)主要通过分布式的网络架构来帮助网站抵御DDoS(分布式拒绝服务)和CC(挑战碰撞)攻击。 下面是高防CDN如何应对这些攻击的详细描述: 1. DDoS
    的头像 发表于 06-07 14:29 278次阅读

    华为重磅发布2023年全球DDoS攻击现状与趋势分析报告

    近日,华为联合天翼安全科技有限公司、联通数科安全、百度安全、Nexusguard、中国移动云能力中心、中国移动卓望公司、清华大学共同发布《2023年全球DDoS攻击现状与趋势分析》(以下简称《报告》)。
    的头像 发表于 05-21 09:56 637次阅读

    华为助力电信安全公司和江苏电信实现DDoS攻击“闪防”能力

    攻击“闪防”解决方案商用试点,标志着中国电信业务安全能力迈上新台阶,DDoS攻击“闪防”解决方案向产品化迈出坚实的一步。
    的头像 发表于 05-19 11:12 662次阅读
    华为助力电信安全公司和江苏电信实现<b class='flag-5'>DDoS</b><b class='flag-5'>攻击</b>“闪防”能力

    DDoS攻击规模最大的一次

    有史以来DDoS攻击规模最大的是哪一次? Google Cloud团队在2017年9月披露了一次此前未公开的DDoS攻击,其流量达 2.54Tbps,是迄今为止有记录以来最大的
    的头像 发表于 01-18 15:39 425次阅读

    DDoS攻击的多种方式

    DDOS攻击指分布式拒绝服务攻击,即处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击
    的头像 发表于 01-12 16:17 550次阅读

    DDoS 攻击解析和保护商业应用程序的防护技术

    选择正确的DDoS高防方案对于加固DDoS攻击至关重要,同时亦可确保业务资产的安全并维持在受保护的状态。通过将不同的服务进行搭配或混合,并将防护模型与业务需求结合,客户将能够为所有的资产实现高质量、经济高效的保护。
    的头像 发表于 01-08 15:02 357次阅读
    <b class='flag-5'>DDoS</b> <b class='flag-5'>攻击</b>解析和保护商业应用程序的防护技术

    数通365案例 | NetEngine 5000E集群助力广东联通实现DDoS攻击"闪防"能力

    算力时代,企业加速数字化转型,业务快速上云,网络安全变的尤为重要。在众多的网络安全事件中,DDoS攻击成为全球网络安全主要威胁,给各行各业带来难以估量的经济损失。根据近两年中国联通云盾DDoS
    的头像 发表于 12-05 18:25 524次阅读
    数通365案例 | NetEngine 5000E集群助力广东联通实现<b class='flag-5'>DDoS</b><b class='flag-5'>攻击</b>"闪防"能力