拒絕服務
① 店家拒絕服務問題
不可以的,客店家是的服務是具有公開行的
② 什麼是拒絕服務攻擊
俗稱就是DDOS攻擊
其實對抄網襲絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為網路協議本身的安全缺陷,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把非法用戶的連接復位,影響合法用戶的連接
就好比一條馬路都同時走100人 忽然來了10000人 你說堵塞不堵塞 還能走嗎? 就是這個道理。
③ 什麼是拒絕服務
分布式拒絕服務攻擊(DDoS)是目前黑客經常採用而難以防範的攻擊手段。本文從概念開始詳細介紹了這種攻擊方式,著重描述了黑客是如何組織並發起的DDoS攻擊,結合其中的Syn Flood實例,您可以對DDoS攻擊有一個更形象的了解。最後作者結合自己的經驗與國內網路安全的現況探討了一些防禦DDoS的實際手段。
DDoS攻擊概念
DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務的響應。
DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是採用一對一方式的,當攻擊目標CPU速度低、內存小或者網路帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網路技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網路,這使得DoS攻擊的困難程度加大了 - 目標對惡意攻擊包的"消化能力"加強了不少,例如你的攻擊軟體每秒鍾可以發送3,000個攻擊包,但我的主機與網路帶寬每秒鍾可以處理10,000個攻擊包,這樣一來攻擊就不會產生什麼效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。你理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網路的處理能力加大了10倍,用一台攻擊機來攻擊不再能起作用的話,攻擊者使用10台攻擊機同時攻擊呢?用100台呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網路給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網路時代時,黑客佔領攻擊用的傀儡機時,總是會優先考慮離目標網路距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的范圍,選擇起來更靈活了。
被DDoS攻擊時的現象
被攻擊主機上有大量等待的TCP連接
網路中充斥著大量的無用的數據包,源地址為假
製造高流量無用數據,造成網路擁塞,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
嚴重時會造成系統死機
黑客是如何組織一次DDoS攻擊的?
這里用"組織"這個詞,是因為DDoS並不象入侵一台主機那樣簡單。一般來說,黑客進行DDoS攻擊時會經過這樣的步驟:
1. 搜集了解目標的情況
下列情況是黑客非常關心的情報:
被攻擊目標主機數目、地址情況
目標主機的配置、性能
目標的帶寬
對於DDoS攻擊者來說,攻擊互聯網上的某個站點,如http://www.mytarget.com,有一個重點就是確定到底有多少台主機在支持這個站點,一個大的網站可能有很多台主機利用負載均衡技術提供同一個網站的www服務。以yahoo為例,一般會有下列地址都是提供http://www.yahoo.com服務的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要進行DDoS攻擊的話,應該攻擊哪一個地址呢?使66.218.71.87這台機器癱掉,但其他的主機還是能向外提供www服務,所以想讓別人訪問不到http://www.yahoo.com的話,要所有這些IP地址的機器都癱掉才行。在實際的應用中,一個IP地址往往還代表著數台機器:網站維護者使用了四層或七層交換機來做負載均衡,把對一個IP地址的訪問以特定的演算法分配到下屬的每個主機上去。這時對於DDoS攻擊者來說情況就更復雜了,他面對的任務可能是讓幾十台主機的服務都不正常。
所以說事先搜集情報對DDoS攻擊者來說是非常重要的,這關繫到使用多少台傀儡機才能達到效果的問題。簡單地考慮一下,在相同的條件下,攻擊同一站點的2台主機需要2台傀儡機的話,攻擊5台主機可能就需要5台以上的傀儡機。有人說做攻擊的傀儡機越多越好,不管你有多少台主機我都用盡量多的傀儡機來攻就是了,反正傀儡機超過了時候效果更好。
但在實際過程中,有很多黑客並不進行情報的搜集而直接進行DDoS的攻擊,這時候攻擊的盲目性就很大了,效果如何也要靠運氣。其實做黑客也象網管員一樣,是不能偷懶的。一件事做得好與壞,態度最重要,水平還在其次。
2. 佔領傀儡機
黑客最感興趣的是有下列情況的主機:
鏈路狀態好的主機
性能好的主機
安全管理水平差的主機
這一部分實際上是使用了另一大類的攻擊手段:利用形攻擊。這是和DDoS並列的攻擊方式。簡單地說,就是佔領和控制被攻擊的主機。取得最高的管理許可權,或者至少得到一個有許可權完成DDoS攻擊任務的帳號。對於一個DDoS攻擊者來說,准備好一定數量的傀儡機是一個必要的條件,下面說一下他是如何攻擊並佔領它們的。
首先,黑客做的工作一般是掃描,隨機地或者是有針對性地利用掃描器去發現互聯網上那些有漏洞的機器,象程序的溢出漏洞、cgi、Unicode、ftp、資料庫漏洞…(簡直舉不勝舉啊),都是黑客希望看到的掃描結果。隨後就是嘗試入侵了,具體的手段就不在這里多說了,感興趣的話網上有很多關於這些內容的文章。
總之黑客現在佔領了一台傀儡機了!然後他做什麼呢?除了上面說過留後門擦腳印這些基本工作之外,他會把DDoS攻擊用的程序上載過去,一般是利用ftp。在攻擊機上,會有一個DDoS的發包程序,黑客就是利用它來向受害目標發送惡意攻擊包的。
3. 實際攻擊
經過前2個階段的精心准備之後,黑客就開始瞄準目標准備發射了。前面的准備做得好的話,實際攻擊過程反而是比較簡單的。就象圖示里的那樣,黑客登錄到做為控制台的傀儡機,向所有的攻擊機發出命令:"預備~ ,瞄準~,開火!"。這時候埋伏在攻擊機中的DDoS攻擊程序就會響應控制台的命令,一起向受害主機以高速度發送大量的數據包,導致它死機或是無法響應正常的請求。黑客一般會以遠遠超出受害方處理能力的速度進行攻擊,他們不會"憐香惜玉"。
老到的攻擊者一邊攻擊,還會用各種手段來監視攻擊的效果,在需要的時候進行一些調整。簡單些就是開個窗口不斷地ping目標主機,在能接到回應的時候就再加大一些流量或是再命令更多的傀儡機來加入攻擊
④ 服務員拒絕服務承擔什麼責任
你好,你與該貨站形成了貨運運輸合同關系,你的合同義務是交納運輸費用並在貨物內到達後容及時提取貨物,而貨站的合同義務為保證貨物的安全運輸,並及時交付給托運人或指定提貨人。通過你的描述,如果你持有提貨單等憑證,而貨站服務人員拒絕無正當理由拒絕交付貨物,你可以先與貨站負責人溝通,溝通不成的可以向法院起訴,要求貨站立即交付並承擔合理的交通費損失及承擔訴訟費用。值得一提的時,服務員屬於履行職務的行為,最後的責任承擔主體應為貨站。
⑤ 什麼是拒絕服務攻擊(DoS)的原理。
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務或資源訪問,是黑客常用的攻擊手段之一。這些資源包括磁碟空間、內存、進程甚至網路帶寬,從而阻止正常用戶的訪問。其實對網路帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接。
拒絕服務攻擊的原理
1.SYN Foold
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
SYN Flood攻擊的過程在TCP協議中被稱為三次握手(Three-way Handshake),而SYN Flood拒絕服務攻擊就是通過三次握手而實現的。
(1) 攻擊者向被攻擊伺服器發送一個包含SYN標志的TCP報文,SYN(Synchronize)即同步報文。同步報文會指明客戶端使用的埠以及TCP連接的初始序號。這時同被攻擊伺服器建立了第一次握手。
(2) 受害伺服器在收到攻擊者的SYN報文後,將返回一個SYN+ACK的報文,表示攻擊者的請求被接受,同時TCP序號被加一,ACK(Acknowledgment)即確認,這樣就同被攻擊伺服器建立了第二次握手。
(3) 攻擊者也返回一個確認報文ACK給受害伺服器,同樣TCP序列號被加一,到此一個TCP連接完成,三次握手完成。
具體原理是:TCP連接的三次握手中,假設一個用戶向伺服器發送了SYN報文後突然死機或掉線,那麼伺服器在發出SYN+ACK應答報文後是無法收到客戶端的ACK報文的(第三次握手無法完成),這種情況下伺服器端一般會重試(再次發送SYN+ACK給客戶端)並等待一段時間後丟棄這個未完成的連接。這段時間的長度我們稱為SYN Timeout,一般來說這個時間是分鍾的數量級(大約為30秒~2分鍾);一個用戶出現異常導致伺服器的一個線程等待1分鍾並不是什麼很大的問題,但如果有一個惡意的攻擊者大量模擬這種情況(偽造IP地址),伺服器端將為了維護一個非常大的半連接列表而消耗非常多的資源。即使是簡單的保存並遍歷也會消耗非常多的CPU時間和內存,何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果伺服器的TCP/IP棧不夠強大,最後的結果往往是堆棧溢出崩潰—— 即使伺服器端的系統足夠強大,伺服器端也將忙於處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小),此時從正常客戶的角度看來,伺服器失去響應,這種情況就稱作:伺服器端受到了SYN Flood攻擊(SYN洪水攻擊)。
2.IP欺騙DOS攻擊
這種攻擊利用RST位來實現。假設現在有一個合法用戶(61.61.61.61)已經同伺服器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為61.61.61.61,並向伺服器發送一個帶有RST位的TCP數據段。伺服器接收到這樣的數據後,認為從61.61.61.61發送的連接有錯誤,就會清空緩沖區中建立好的連接。這時,如果合法用戶61.61.61.61再發送合法數據,伺服器就已經沒有這樣的連接了,該用戶就必須從新開始建立連接。攻擊時,攻擊者會偽造大量的IP地址,向目標發送RST數據,使伺服器不對合法用戶服務,從而實現了對受害伺服器的拒絕服務攻擊。
⑥ 拒絕服務的後果是什麼
DDOS攻擊是通過數據包一直對你的機器進行訪問,你的機器被大量數據包訪問的同時版,CPU要處理這些,從而正常權想訪問你的電腦的用戶就不能訪問!CPU佔用率就會很高,慘一點的話,就會死機了! 所以說abc三個選項都正確。
⑦ 什麼是拒絕服務常見的拒絕服務有哪些
凡是能導致合法用戶不能夠正常訪問網路服務的行為都算是拒絕服務攻擊;常見的拒絕服務攻擊有:死亡之ping,UDP Flood,分布式拒絕服務——DDoS,分布式反射拒絕服務攻擊——DRDoS,CC攻擊
⑧ 拒絕服務攻擊和分布式拒絕服務攻擊有什麼區別
簡單做比喻:
拒絕服務攻擊:我去銀行搗亂,我不做違法的事情,我就瘋狂的一百塊錢存完了取,取完了存,無限循環,我佔用你銀行的業務員,佔用正常用戶的服務資源,導致你沒法為正常的用戶服務。
分布式拒絕服務攻擊:如果說,我搗亂,被你們保安轟出去了,那很正常,而且不讓我再進了,那也很正常,但我也有辦法啊,我花錢或者鼓動其他人(肉雞)一起去搗亂,你不能全禁了吧?你也不知道誰是真的客戶,誰是來搗亂的。
就攻擊而言,這種攻擊是無解的,因為請求並非非法,只不過是沒有實際意義的搗亂請求而已。就如同我鼓動1000個人去銀行辦理100塊錢來回轉賬業務,你根本無法分辨哪些是我雇來搗亂的,哪些是來辦理實際正常業務的。
而對於實際用戶而言,毫無疑問,你的服務效率下降了,因為你忙著去服務一些搗亂的「客戶」了。
當然,現實要比這個復雜,攻擊方式也更為復雜。
⑨ 什麼是拒絕服務(DoS)
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之一。其實對網路帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬於拒絕服務攻擊。拒絕服務攻擊問題也一直得不到合理的解決,究其原因是因為這是由於網路協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓伺服器實現兩種效果:一是迫使伺服器的緩沖區滿,不接收新的請求;二是使用IP欺騙,迫使伺服器把合法用戶的連接復位,影響合法用戶的連接。
DoS
:
我們所說的
DoS (Denial of Service)
攻擊其中文含義是拒絕服務攻擊,
這種攻擊行動使網站
伺服器充斥大量要求回復的信息,消耗網路帶寬或系統資源,導致網路或系統不勝負荷以至於
癱瘓而停止提供正常的網路服務。
黑客不正當地採用標准協議或連接方法,
向攻擊的服務發出
大量的訊息,佔用及超越受攻擊伺服器所能處理的能力,使它當
(Down)
機或不能正常地為用戶
服務。
「
拒絕服務
」
是如何攻擊的通過普通的網路連線,使用者傳送信息要求伺服器予以確定。伺服器
於是回復用戶。用戶被確定後,就可登入伺服器。
「
拒絕服務
」
的攻擊方式為:用戶傳送眾多要
求確認的信息到伺服器,使伺服器里充斥著這種無用的信息。所有的信息都有需回復的虛假地
址,以至於當伺服器試圖回傳時,卻無法找到用戶。伺服器於是暫時等候,有時超過一分鍾,
然後再切斷連接。伺服器切斷連接時,黑客再度傳送新一批需要確認的信息,這個過程周而復
始,最終導致伺服器無法動彈,癱瘓在地。
在這些
DoS
攻擊方法中,又可以分為下列幾種:
TCP SYN Flooding
Smurf
Fraggle
1.TCP Syn Flooding
由於
TCP
協議連接三次握手的需要,在每個
TCP
建立連接時,都要發送一個帶
SYN
標記的數據
包,如果在伺服器端發送應答包後,客戶端不發出確認,伺服器會等待到數據超時,如果大量
的帶
SYN
標記的數據包發到伺服器端後都沒有應答,會使伺服器端的
TCP
資源迅速枯竭,導致
正常的連接不能進入,甚至會導致伺服器的系統崩潰。這就是
TCP
SYN Flooding
攻擊的過程。
圖
1 TCP Syn
攻擊
TCP
Syn
攻擊是由受控制的大量客戶發出
TCP
請求但不作回復,使伺服器資源被佔用,再也
無法正常為用戶服務。伺服器要等待超時
(Time
Out)
才能斷開已分配的資源。
2.Smurf
黑客採用
ICMP(Internet Control Message Protocol RFC792)
技術進行攻擊。常用的
ICMP
有
PING
。
首先黑客找出網路上有哪些路由器會回應
ICMP
請求。
然後用一個虛假的
IP
源地
址向路由器的廣播地址發出訊息,路由器會把這訊息廣播到網路上所連接的每一台設備。這些
設備又馬上回應,這樣會產生大量訊息流量,從而佔用所有設備的資源及網路帶寬,而回應的
地址就是受攻擊的目標。例如用
500K bit/sec
流量的
ICMP echo (PING)
包廣播到
100
台設備,
產生
100
個
PING
回應,便產生
50M bit/sec
流量。這些流量流向被攻擊的伺服器
,
便會使這服
務器癱瘓。
ICMP Smurf
的襲擊加深了
ICMP
的泛濫程度,
導致了在一個數據包產生成千的
ICMP
數據包發送
到一個根本不需要它們的主機中去,傳輸多重信息包的伺服器用作
Smurf
的放大器。
圖
2 Smurf
攻擊圖
3.Fraggle
:
Fraggle
基本概念及做法像
Smurf,
但它是採用
UDP echo
訊息。
如何阻擋
「
拒絕服務
」
的攻擊
阻擋
「
拒絕服務
」
的攻擊的常用方法之一是:
在網路上建立一個過濾器
(
filter
)
或偵測器
(
sniffer
)
,
在信息到達網站伺服器之前阻擋信息。過濾器會偵察可疑的攻擊行動。如果某種可疑行動經常
出現,過濾器能接受指示,阻擋包含那種信息,讓網站伺服器的對外連接線路保持暢通。
DDoS
:
DDoS(Distributed Denial of Service)
其中文含義為分布式拒絕服務攻擊。
Distributed
DoS
是黑客控制一些數量的
PC
機或路由器,用這些
PC
機或路由器發動
DoS
攻
擊。因為黑客自己的
PC
機可能不足夠產生出大量的訊息,使遭受攻擊的網路伺服器處理能力
全部被佔用。
黑客採用
IP
Spoofing
技術,令他自己的
IP
地址隱藏,所以很難追查。如果是在
Distributed
DoS
情況下,被追查出來的都是被黑客控制的用戶的
IP
地址;他們本身也是受害者。
⑩ 什麼叫重放攻擊什麼叫拒絕服務
重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊,是指攻擊者發送一個目的主機已接收過的包,來達回到欺騙系答統的目的,主要用於身份認證過程,破壞認證的正確性。重放攻擊可以由發起者,也可以由攔截並重發該數據的敵方進行。
拒絕服務指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。