0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

拒绝服务攻击的基本概念

lhl545545 来源:浩道linux 作者:浩道linux 2022-10-08 11:07 次阅读

DDOS简介

DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务器拒绝正常流量服务。就如酒店里的房间是有固定的数量的,比如一个酒店有50个房间,当50个房间都住满人之后,再有新的用户想住进来,就必须要等之前入住的用户先出去。如果入住的用户一直不出去,那么酒店就无法迎接新的用户,导致酒店负荷过载,这种情况就是“拒绝服务”。如果想继续提供资源,那么酒店应该提升自己的资源量,服务器也是同样的道理。

拒绝服务攻击的基本概念

拒绝服务:拒绝服务是指应用系统无法正常对外提供服务的状态,如网络阻塞、系统宕机、响应缓慢等都属于拒绝服务的表现。

拒绝服务攻击(DOS):拒绝服务攻击(Denial of Service Attack)是一种通过各种技术手段导致目标系统进入拒绝服务状态的攻击,常见手段包括利用漏洞、消耗应用系统性能和消耗应用系统带宽。

分布式拒绝服务攻击(DDOS):分布式拒绝服务攻击(Distributed Denial of Service Attack)是拒绝服务攻击的高级手段,利用分布全球的僵尸网络发动攻击,能够产生大规模的拒绝服务攻击。

2f6617cc-4377-11ed-96c9-dac502259ad0.png

DDOS攻击分类

(1)漏洞型(基于特定漏洞进行攻击):只对具备特定漏洞的目标有效,通常发送特定数据包或少量的数据包即可达到攻击效果。

(2)业务型(消耗业务系统性能额为主):与业务类型高度相关,需要根据业务系统的应用类型采取对应的攻击手段才能达到效果,通常业务型攻击实现效果需要的流量远低于流量型。

(3)流量型(消耗带宽资源为主):主要以消耗目标业务系统的带宽资源为攻击手段,通常会导致网络阻塞,从而影响正常业务。

拒绝服务攻击处理流程

(1)现象分析:根据发现的现象、网络设备和服务的情况初步判断是否存在拒绝服务攻击。

(2)抓包分析:通过抓包分析的方式进一步了解攻击的方式和特征。

(3)启动对抗措施:最后启动对抗措施进行攻击对抗,可以进行资源提升、安全加固、安全防护等措施。

DDOS流量包分析

SYN Flood攻击

在正常的情况下,TCP三次握手过程如下

2fa2f8f4-4377-11ed-96c9-dac502259ad0.png

客户端向服务器端发送一个SYN请求包,包含客户端使用的端口号和初始序列号x。

服务器端收到客户端发送过来的SYN请求包后,知道客户端想要建立连接,于是向客户端发送一个SYN请求包和ACK回应包,包含确认号x+1和服务器端的初始序列号y。

客户端收到服务器端返回的SYN请求包和ACK回应包后,向服务器端返回一个确认号y+1和序号x+1的ACK请求包,三次握手完成,TCP连接建立成功。

SYN Flood攻击原理:

首先是客户端发送一个SYN请求包给服务器端,服务器端接受后会发送一个SYN+ACK包回应客户端,最后客户端会返回一个ACK包给服务器端来实现一次完整的TCP连接。Syn flood攻击就是让客户端不返回最后的ACK包,这就形成了半开连接,TCP半开连接是指发送或者接受了TCP连接请求,等待对方应答的状态,半开连接状态需要占用系统资源以等待对方应答,半开连接数达到上限,无法建立新的连接,从而造成拒绝服务攻击。

受害靶机的流量包分析

2fc326ba-4377-11ed-96c9-dac502259ad0.jpg

利用wireshark软件抓取数据包的数据,通过筛选器筛选出发送包频率多的ip地址。

筛选218.xxx.xxx.87,分析协议占比,发现tcp和http占比比较大

2fed3220-4377-11ed-96c9-dac502259ad0.jpg

筛选tcp中的syn数据包,发现syn数据包占比为82.9,可以判断应该为SYN FLOOD拒绝服务攻击

2fff2c6e-4377-11ed-96c9-dac502259ad0.jpg

UDP Flood攻击

UDP Flood攻击原理:

由于UDP属于无连接协议,消耗的系统资源较少,相同条件下容易产生更高的流量,是流量型攻击的主要手段。当受害系统接收到一个UDP数据包的时候,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候,系统就会造成拒绝服务攻击,因此,UDP FLOOD成为了流量型拒绝服务攻击的主要手段。

受害靶机的流量包分析

302146fa-4377-11ed-96c9-dac502259ad0.png

利用wireshark软件抓取数据包的数据,通过筛选器筛选出发送包频率多的ip地址。

筛选117.xxx.xxx.0网段,分析协议占比,可以看到受害靶机接受的UDP包比较多。

304483b8-4377-11ed-96c9-dac502259ad0.jpg

可以看到UDP包的大小都是固定的172bytes。

30670b90-4377-11ed-96c9-dac502259ad0.png

可以看出都是发送udp包,udp包大小都是相同的,可以判断是udp flood攻击。

308aa532-4377-11ed-96c9-dac502259ad0.jpg

慢速拒绝服务攻击

apt install slowhttptest -y

安装slowhttptest

慢速拒绝服务攻击原理:

完整的http请求包是以 结尾,慢速拒绝服务攻击时仅发送 ,少发送一个 ,服务器认为请求还未发完,服务器就会一直等待直至超时。

slowhttptest -c 5000 -H -g -o my_header_stats -i 10 -r 5000 -t GET -u “http://10.10.10.134” -x 200 -p 3

(测试时建立5000连接数-c;选择slowloris模式-H;生成cvs和HTML文件的统计数据-G;生成的文件名my_header_stats -o;指定发送数据间的间隔10秒 -i 每秒连接数5000-t;指定url-u;指定发送的最大数据长度200 -x;指定等待时间来确认DOS攻击已经成功-p)

30b1a042-4377-11ed-96c9-dac502259ad0.png

观察靶机的cpu和网络流量明显增加很多

30d447e6-4377-11ed-96c9-dac502259ad0.png

3116d340-4377-11ed-96c9-dac502259ad0.jpg

受害靶机的流量包分析

3152df52-4377-11ed-96c9-dac502259ad0.png

攻击机ip:10.10.10.129,靶机ip:10.10.10.134

[PSH,ACK]是攻击机发送有数据的ACK包给靶机,[ACK]包是靶机回复攻击机的数据包。

可以看到没有发送2次连续的 ,以至于靶机要一直等待。

317159fa-4377-11ed-96c9-dac502259ad0.png

http协议比例为36.6,tcp协议比例为87.4

3198ed3a-4377-11ed-96c9-dac502259ad0.jpg

筛选ack数据包,占比率98.2,不符合常态,综上可以判断为慢速拒绝服务攻击

31b6fe42-4377-11ed-96c9-dac502259ad0.png

ICMP Flood攻击

ICMP Flood攻击原理:

当 ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流,但是由于ICMP协议报文被丢弃不影响大多数系统运行,所以容易被防护。

利用hping3造成ICMP Flood攻击

hping3 -q -n -a 1.1.1.1 –icmp -d 200 –flood 10.10.10.134

31ee9c8a-4377-11ed-96c9-dac502259ad0.jpg

观察靶机的cpu和网络流量明显增加很多

32072c6e-4377-11ed-96c9-dac502259ad0.png

3233bd92-4377-11ed-96c9-dac502259ad0.png

受害靶机的流量包分析

伪造的源ip:1.1.1.1发送大量icmp包给目标ip:10.10.10.134

326c6250-4377-11ed-96c9-dac502259ad0.png

筛选出同一IP发送大量ICMP包,且占比率86.0,判断为ICMP拒绝服务攻击。

328f13f4-4377-11ed-96c9-dac502259ad0.png

328f13f4-4377-11ed-96c9-dac502259ad0.png

总结

拒绝服务攻击造成的危害是比较大的,本质是对有限资源的无限制的占用所造成的,所以在这方面需要限制每个不可信任的资源使用中的分配额度,或者提高系统的有限资源等方式来防范拒绝服务攻击。

审核编辑:彭静
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9123

    浏览量

    85324
  • 网络
    +关注

    关注

    14

    文章

    7553

    浏览量

    88729
  • TCP
    TCP
    +关注

    关注

    8

    文章

    1353

    浏览量

    79055

原文标题:【网络干货】如何破解DDOS攻击?

文章出处:【微信号:浩道linux,微信公众号:浩道linux】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    SCDN的抗CC攻击和抗DDoS攻击防护是什么?

    300Gbps。另可定制最高达600Gbps防护。CC攻击是什么?CC攻击是 DDOS(分布式拒绝服务) 的一种,DDoS是针对IP的攻击,而CC
    发表于 01-05 14:45

    TCP SYN分布式拒绝服务攻击分析

    分布式拒绝服务(DDoS)攻击是当前影响因特网正常工作的一个严重的问题,出现的攻击将会阻止合法的用户使用其所需要的资源。本研究将借助于SSFNet(Scalable Simulation Framework)模拟软
    发表于 07-11 09:01 12次下载

    OPNET下WLAN拒绝服务攻击及仿真研究

    本文研究了针对WLAN 的拒绝服务攻击,总结了当前危害最为严重的几种攻击方式,分别为假冒合法MAC 地址的攻击和向无线接入点AP 发送大的延迟包的
    发表于 12-25 16:56 23次下载

    什么是DoS/拒绝服务

    什么是DoS  DoS是英文“Denial of service”的缩写,中文意思是“拒绝服务”。DoS攻击专门设计用来阻止授权用户对系统以及系统数据进行访问,通常采用的攻击方式是
    发表于 01-08 10:41 2349次阅读

    DDOS攻击是什么_ddos攻击攻击是无解的吗

    DDOS攻击及分布式拒绝服务攻击分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来
    发表于 12-28 10:27 4013次阅读
    DDOS<b class='flag-5'>攻击</b>是什么_ddos<b class='flag-5'>攻击</b><b class='flag-5'>攻击</b>是无解的吗

    ddos攻击也可以按需服务

    拒绝服务攻击攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性
    发表于 12-28 11:04 902次阅读
    ddos<b class='flag-5'>攻击</b>也可以按需<b class='flag-5'>服务</b>

    DDoS分布式拒绝服务攻击的威胁性越来越大

    DDoS分布式拒绝服务攻击,已经变得越来越常见,越来越强大,很多攻击者都在使用物联网设备, 来建立更多的连接和带宽,以及5G网络跟云应用的发展, 随着暗网和加密货币的出现和匿名性,越来越多的人从暗网中发动DDOS
    发表于 11-29 14:39 1022次阅读

    区块链的拒绝服务攻击BDoS会对区块链产生哪些威胁

    自互联网诞生以来,拒绝服务(DoS)攻击一直是个让人头疼的问题。DoS攻击者以各种服务为目标,旨在获取乐趣和利润。最常见的情况是,他们会向服务
    发表于 12-19 08:51 2253次阅读

    如何防范分布式拒绝服务攻击DDoS

    加密货币交易所Bitfinex在2月28日发推文称疑似遭到分布式拒绝服务攻击(DDoS),正在就此事调查。在此期间Bitfinex中断交易服务,页面处于维护状态。
    发表于 03-02 13:46 1551次阅读
    如何防范分布式<b class='flag-5'>拒绝服务</b><b class='flag-5'>攻击</b>DDoS

    保障服务器安全网络安全,如何防御ddos攻击

    DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法,但是发起攻击的源是多个。
    发表于 03-13 11:08 714次阅读

    拒绝服务攻击的原理和解决方式

    拒绝服务攻击分为两种,DDOS攻击和DOS攻击。DDOS攻击也称为分布式拒绝服务
    的头像 发表于 07-07 11:18 1w次阅读

    netstat命令:判断服务器是否遭受DDoS攻击

    一般来说,服务器非常慢可能原因是多方面的,有可能是配置错误,脚本错误或者是一些奇诡的硬件。当然也有可能是有人对你的服务器进行 Dos (拒绝服务攻击)或者 DDOS (分布式
    的头像 发表于 01-03 12:18 2189次阅读

    SDN中交换机控制代理拒绝服务攻击方法

    针对软件定义网络(SDN)交换机控制代理昋吐量有限的不足,提出一种交换机控制代理拒绝服务攻击方法。为保护SDN交换机控制代理资源,设计层次化多阈值的攻击检测方案,通过计算SDN交换机及交换机各端所
    发表于 06-01 16:31 12次下载

    揭秘DDOS攻击基本概念及DDOS攻击分类

    DDOS简介 DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用,从而造成服务拒绝
    的头像 发表于 09-24 10:36 3263次阅读
    揭秘DDOS<b class='flag-5'>攻击</b>的<b class='flag-5'>基本概念</b>及DDOS<b class='flag-5'>攻击</b>分类

    正则表达式是什么 如何能导致拒绝服务攻击

    当您想到拒绝服务攻击时,您会想到什么?可能是一大群机器人试图访问 Web 服务器的资源以使其瘫痪。好吧,这肯定是导致拒绝服务攻击的一种方式。
    的头像 发表于 05-13 16:38 1864次阅读