拒絕服務攻擊
1. 拒絕服務攻擊的防止攻擊
許多現代的UNIX允許管理員設置一些限制,如限制可以使用的最大內存、CPU時間以及可以生成的最大文件等。如果當前正在開發―個新的程序,而又不想偶然地使系統變得非常緩慢,或者使其它分享這台主機的用戶無法使用,這些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出當前程的資源限制。 前文描述過,SYN Flood攻擊大量消耗伺服器的CPU、內存資源,並占滿SYN等待隊列。相應的,我們修改內核參數即可有效緩解。主要參數如下:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_synack_retries = 2
分別為啟用SYN Cookie、設置SYN最大隊列長度以及設置SYN+ACK最大重試次數。
SYN Cookie的作用是緩解伺服器資源壓力。啟用之前,伺服器在接到SYN數據包後,立即分配存儲空間,並隨機化一個數字作為SYN號發送SYN+ACK數據包。然後保存連接的狀態信息等待客戶端確認。啟用SYN Cookie之後,伺服器不再分配存儲空間,而且通過基於時間種子的隨機數演算法設置一個SYN號,替代完全隨機的SYN號。發送完SYN+ACK確認報文之後,清空資源不保存任何狀態信息。直到伺服器接到客戶端的最終ACK包,通過Cookie檢驗演算法鑒定是否與發出去的SYN+ACK報文序列號匹配,匹配則通過完成握手,失敗則丟棄。當然,前文的高級攻擊中有SYN混合ACK的攻擊方法,則是對此種防禦方法的反擊,其中優劣由雙方的硬體配置決定
tcp_max_syn_backlog則是使用伺服器的內存資源,換取更大的等待隊列長度,讓攻擊數據包不至於占滿所有連接而導致正常用戶無法完成握手。net.ipv4.tcp_synack_retries是降低伺服器SYN+ACK報文重試次數,盡快釋放等待資源。這三種措施與攻擊的三種危害一一對應,完完全全地對症下葯。但這些措施也是雙刃劍,可能消耗伺服器更多的內存資源,甚至影響正常用戶建立TCP連接,需要評估伺服器硬體資源和攻擊大小謹慎設置。
除了定製TCP/IP協議棧之外,還有一種常見做法是TCP首包丟棄方案,利用TCP協議的重傳機制識別正常用戶和攻擊報文。當防禦設備接到一個IP地址的SYN報文後,簡單比對該IP是否存在於白名單中,存在則轉發到後端。如不存在於白名單中,檢查是否是該IP在一定時間段內的首次SYN報文,不是則檢查是否重傳報文,是重傳則轉發並加入白名單,不是則丟棄並加入黑名單。是首次SYN報文則丟棄並等待一段時間以試圖接受該IP的SYN重傳報文,等待超時則判定為攻擊報文加入黑名單。
首包丟棄方案對用戶體驗會略有影響,因為丟棄首包重傳會增大業務的響應時間,有鑒於此發展出了一種更優的TCP Proxy方案。所有的SYN數據報文由清洗設備接受,按照SYN Cookie方案處理。和設備成功建立了TCP三次握手的IP地址被判定為合法用戶加入白名單,由設備偽裝真實客戶端IP地址再與真實伺服器完成三次握手,隨後轉發數據。而指定時間內沒有和設備完成三次握手的IP地址,被判定為惡意IP地址屏蔽一定時間。除了SYN Cookie結合TCP Proxy外,清洗設備還具備多種畸形TCP標志位數據包探測的能力,通過對SYN報文返回非預期應答測試客戶端反應的方式來鑒別正常訪問和惡意行為。
清洗設備的硬體具有特殊的網路處理器晶元和特別優化的操作系統、TCP/IP協議棧,可以處理非常巨大的流量和SYN隊列。 HTTP Flood攻擊防禦主要通過緩存的方式進行,盡量由設備的緩存直接返回結果來保護後端業務。大型的互聯網企業,會有龐大的CDN節點緩存內容。
當高級攻擊者穿透緩存時,清洗設備會截獲HTTP請求做特殊處理。最簡單的方法就是對源IP的HTTP請求頻率做統計,高於一定頻率的IP地址加入黑名單。這種方法過於簡單,容易帶來誤殺,並且無法屏蔽來自代理伺服器的攻擊,因此逐漸廢止,取而代之的是JavaScript跳轉人機識別方案。
HTTP Flood是由程序模擬HTTP請求,一般來說不會解析服務端返回數據,更不會解析JS之類代碼。因此當清洗設備截獲到HTTP請求時,返回一段特殊JavaScript代碼,正常用戶的瀏覽器會處理並正常跳轉不影響使用,而攻擊程序會攻擊到空處。 DNS攻擊防禦也有類似HTTP的防禦手段,第一方案是緩存。其次是重發,可以是直接丟棄DNS報文導致UDP層面的請求重發,可以是返回特殊響應強制要求客戶端使用TCP協議重發DNS查詢請求。
特殊的,對於授權域DNS的保護,設備會在業務正常時期提取收到的DNS域名列表和ISP DNS IP列表備用,在攻擊時,非此列表的請求一律丟棄,大幅降低性能壓力。對於域名,實行同樣的域名白名單機制,非白名單中的域名解析請求,做丟棄處理。 Slowloris攻擊防禦比較簡單,主要方案有兩個。
第一個是統計每個TCP連接的時長並計算單位時間內通過的報文數量即可做精確識別。一個TCP連接中,HTTP報文太少和報文太多都是不正常的,過少可能是慢速連接攻擊,過多可能是使用HTTP 1.1協議進行的HTTP Flood攻擊,在一個TCP連接中發送多個HTTP請求。
第二個是限制HTTP頭部傳輸的最大許可時間。超過指定時間HTTP Header還沒有傳輸完成,直接判定源IP地址為慢速連接攻擊,中斷連接並加入黑名單。
2. 計算機網路中有哪些攻擊屬於拒絕服務攻擊
Synflood: 該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣,目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這 些隊列,造成了資源的大量消耗而不能向正常請求提供服務。
Smurf:該攻擊向一個子網的廣播地址發一個帶有特定請求(如ICMP回應請求)的包,並且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包,使該主機受到攻擊。
Land-based:攻擊者將一個包的源地址和目的地址都設置為目標主機的地址,然後將該包通過IP欺騙的方式發送給被攻擊主機,這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環,從而很大程度地降低了系統性能。
Ping of Death:根據TCP/IP的規范,一個包的長度最大為65536位元組。盡管一個包的長度不能超過65536位元組,但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大於65536位元組的包時,就是受到了Ping of Death攻擊,該攻擊會造成主機的宕機。
Teardrop:IP數據包在網路傳遞時,數據包可以分成更小的片段。攻擊者可以通過發送兩段(或者更多)數據包來實現TearDrop攻擊。第一個包的偏移量為0,長度為N,第二個包的偏移量小於N。為了合並這些數據段,TCP/IP堆棧會分配超乎尋常的巨大資源,從而造成系統資源的缺乏甚至機器的重新啟動。
PingSweep:使用ICMP Echo輪詢多個主機。
Pingflood: 該攻擊在短時間內向目的主機發送大量ping包,造成網路堵塞或主機資源耗盡。
3. 如何防範拒絕服務攻擊
它是一種濫用資源性的攻擊,目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對伺服器進行訪問造成伺服器的服務失效甚至死機。 (1)網站的數據流量突然超出平常的十幾倍甚至上百倍,而且同時到達網站的數據包分別來自大量不同的IP。 (2)大量到達的數據包(包括TCP包和UDP包)並不是網站服務連接的一部分,往往指向你機器任意的埠。比如你的網站是Web伺服器,而數據包卻發向你的FTP埠或其它任意的埠。 2、BAN IP地址法 確定自己受到攻擊後就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對於DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在伺服器或路由器上屏蔽攻擊者IP後就可以有效的防範DOS的攻擊。不過對於DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。 不論是對付DOS還是DDOS都需要我們在伺服器上安裝相應的防火牆,然後根據防火牆的日誌分析來訪者的IP,發現訪問量大的異常IP段就可以添加相應的規則到防火牆中實施過濾了。 當然直接在伺服器上過濾會耗費伺服器的一定系統資源,所以目前比較有效的方法是在伺服器上通過防火牆日誌定位非法IP段,然後將過濾條目添加到路由器上。例如我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,而伺服器的地址為61.153.5.1。那麼可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。 cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0 這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。 小提示:在訪問控制列表中表示子網掩碼需要使用反向掩碼,也就是說0.0.255.255表示子網掩碼為255.255.0.0。
4. 拒絕服務攻擊的工作原理是什麼
分散式阻斷服務攻擊,亦稱為洪水攻擊,通常簡稱為DDoS或DoS,即英語「Distributed Denial of Service」的縮寫。版顧名思義,即是利用權網路上已被攻陷的電腦作為「喪屍」,向某一特定的目標電腦發動密集式的「拒絕服務」要求,用以把目標電腦的網路資源及系統資源耗盡,使之無法向真正正常請求的用戶提供服務。黑客通過將一個個「喪屍」或者稱為「肉雞」組成喪屍網路(即Botnet),就可以發動大規模DDoS或SYN洪水網路攻擊,或者將「喪屍」們組到一起進行帶有利益的刷網站流量、Email垃圾郵件群發,癱瘓預定目標受雇攻擊競爭對手等商業活動。
這個就是你所說的拒絕服務攻擊
5. 什麼是拒絕服務攻擊
俗稱就是DDOS攻擊
其實對抄網襲絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為網路協議本身的安全缺陷,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把非法用戶的連接復位,影響合法用戶的連接
就好比一條馬路都同時走100人 忽然來了10000人 你說堵塞不堵塞 還能走嗎? 就是這個道理。
6. 請簡述拒絕服務攻擊DOS的原理。
但請先踩吶完城,立馬發你資源,不踩不發資源哦!
DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。 DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁碟空間、內存、進程甚至網路帶寬,從而阻止正常用戶的訪問。其實對網路帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接。
拒絕服務攻擊的原理
1.SYN Foold
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
SYN Flood攻擊的過程在TCP協議中被稱為三次握手(Three-way Handshake),而SYN Flood拒絕服務攻擊就是通過三次握手而實現的。
(1) 攻擊者向被攻擊伺服器發送一個包含SYN標志的TCP報文,SYN(Synchronize)即同步報文。同步報文會指明客戶端使用的埠以及TCP連接的初始序號。這時同被攻擊伺服器建立了第一次握手。
(2) 受害伺服器在收到攻擊者的SYN報文後,將返回一個SYN+ACK的報文,表示攻擊者的請求被接受,同時TCP序號被加一,ACK(Acknowledgment)即確認,這樣就同被攻擊伺服器建立了第二次握手。
(3) 攻擊者也返回一個確認報文ACK給受害伺服器,同樣TCP序列號被加一,到此一個TCP連接完成,三次握手完成。
具體原理是:TCP連接的三次握手中,假設一個用戶向伺服器發送了SYN報文後突然死機或掉線,那麼伺服器在發出SYN+ACK應答報文後是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下伺服器端一般會重試(再次發送SYN+ACK給客戶端)並等待一段時間後丟棄這個未完成的連接。這段時間的長度我們稱為SYN Timeout,一般來說這個時間是分鍾的數量級(大約為30秒~2分鍾);一個用戶出現異常導致伺服器的一個線程等待1分鍾並不是什麼很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況(偽造IP地址),伺服器端將為了維護一個非常大的半連接列表而消耗非常多的資源。即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果伺服器的TCP/IP棧不夠強大,最後的結果往往是堆棧溢出崩潰—— 即使伺服器端的系統足夠強大,伺服器端也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正常客戶的角度看來,伺服器失去響應,這種情況就稱作:伺服器端受到了SYN Flood攻擊(SYN洪水攻擊)。
2.IP欺騙DOS攻擊
這種攻擊利用RST位來實現。假設現在有一個合法用戶(61.61.61.61)已經同伺服器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為61.61.61.61,並向伺服器發送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後,認為從61.61.61.61發送的連接有錯誤,就會清空緩沖區中建立好的連接。這時,如果合法用戶61.61.61.61再發送合法數據,伺服器就已經沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊時,攻擊者會偽造大量的IP地址,向目標發送RST數據,使伺服器不對合法用戶服務,從而實現了對受害伺服器的拒絕服務攻擊。
7. 拒絕服務攻擊的介紹
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網路帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接。
8. 什麼是拒絕服務常見的拒絕服務有哪些
凡是能導致合法用戶不能夠正常訪問網路服務的行為都算是拒絕服務攻擊;常見的拒絕服務攻擊有:死亡之ping,UDP Flood,分布式拒絕服務——DDoS,分布式反射拒絕服務攻擊——DRDoS,CC攻擊
9. 拒絕服務攻擊和字典攻擊是什麼意思
拒絕服務攻擊是向被攻擊方發送大量的惡意數據包來耗盡資源,使之不能相應正常的訪問服務。此種攻擊是最有效而且是無法徹底杜絕的方式。
字典攻擊的范圍比較廣,但是主要目標就是針對密碼進行破解,而破解的成功率取決於字典的內容組合。破解終究會得到結果,但是破解時間是衡量成功與否的。例如要100年才能破解出來,那麼結果就可以說是失敗或是無法破解。
10. 拒絕服務攻擊和分布式拒絕服務攻擊有什麼區別
簡單做比喻:
拒絕服務攻擊:我去銀行搗亂,我不做違法的事情,我就瘋狂的一百塊錢存完了取,取完了存,無限循環,我佔用你銀行的業務員,佔用正常用戶的服務資源,導致你沒法為正常的用戶服務。
分布式拒絕服務攻擊:如果說,我搗亂,被你們保安轟出去了,那很正常,而且不讓我再進了,那也很正常,但我也有辦法啊,我花錢或者鼓動其他人(肉雞)一起去搗亂,你不能全禁了吧?你也不知道誰是真的客戶,誰是來搗亂的。
就攻擊而言,這種攻擊是無解的,因為請求並非非法,只不過是沒有實際意義的搗亂請求而已。就如同我鼓動1000個人去銀行辦理100塊錢來回轉賬業務,你根本無法分辨哪些是我雇來搗亂的,哪些是來辦理實際正常業務的。
而對於實際用戶而言,毫無疑問,你的服務效率下降了,因為你忙著去服務一些搗亂的「客戶」了。
當然,現實要比這個復雜,攻擊方式也更為復雜。