述:
DDoS,即 Distributed Denial of Service ,可译为分散式阻断办事攻击。
上图与DDoS的字面已经清楚的表述出了此类攻击的原理,勿需多言。
这类攻击泛滥存在的主要原因之一是网络办事的开放性,这一特点导致了DDoS攻击无法根本杜绝,目前主要应对策略是积极防御与消极防御。
典型DDoS的攻击方式:
死亡之Ping
icmp封装于IP报文之中,而IP对于很大的数据载荷采用分片传输的策略,而接收方需要对这些IP分片进行重组,如果接收方的重组算法不能很好地处理不测情况,,后果会很严重,典型的不测情况包罗:
1.连续分片的偏移量之间不符合它们应该的逻辑关系,攻击者伪造出这样的一系列分包是很容易的;
2.重组完成后的IP头与数据载荷,总长度竟超过了IP报文总长2^16字节(64kB)的限制,一个实现的例子是,前面各分片一律正常,唯有最后一个IP分片的数据载荷尽量填充到最大,如达到以太网最大传输单元MTU 1500字节上限,这样重组后的报文总长度就达到了约(64kB+1500B-20B-8B=65.44kB)的大小。
这种攻击方式附加了对目标系统协议栈算法的漏洞利用。
泪滴TearDrop
泪滴攻击指的是向目标机器发送损坏的IP包,诸如重叠的包或过大的包载荷。借由这些手段,该攻击可以通过TCP/IP协议栈中分片重组代码中的bug来瘫痪各种不同的操作系统。(此段摘自维基百科中文,实现方式可参考上死亡之Ping)
UDP洪水
UDP是一种无连接协议,当数据包通过 UDP 发送时,所有的数据包在发送和接收时不需要进行握手验证。
当大量 UDP 数据包发送给受害系统时,可能会导致带宽饱和从而使得合法办事无法请求拜候受害系统。
遭受 DDoS UDP 洪泛攻击时,UDP 数据包的目的端口可能是随机或指定的端口,受害系统将尝试处理接收到的数据包以确定本地运行的办事。
如果没有应用程序在目标端口运行,受害系统将对源IP发出 ICMP 数据包,表白“目标端口不成达”。
某些情况下,攻击者会伪造源IP地址以隐藏本身,这样从受害系统返回的数据包不会直接回到僵尸主机,而是被发送到被伪造地址的主机。
有时 UDP 洪泛攻击也可能影响受害系统周围的网络连接,这可能导致受害系统附近的正常系统遇到问题。
然而,这取决于网络体系结构和线速。(此段摘自维基百科中文)
TCP RST 攻击
TCP协议存在安全漏洞,正常的TCP连接可以被不法的第三方复位,这是因为TCP连接通讯不包含认证的功能。
如,在已知连接的五元组的情况下,攻击者可以伪造带有RST/SYN标识表记标帜的TCP报文或普通数据报文,当其sequence number落在TCP连接的滑动窗口范围内,可能导致会话终止或者虚假数据插入。
TCP 全连接攻击
庞大的攻击群同时地、不竭地与目标办事器建立正常的TCP连接,从而严重影响正常用户的连接办事。
Syn Flood
攻击者向目标办事器发送大量(伪造源IP地址、伪造源端口、正确目标IP地址、正确目标端口)tcp syn数据包,目标办事器为了维持这么大量的虚假连接,大量的tcp状态机维持在了SYN_RCVD状态,严重地影响了处理速度与消耗了系统资源,而反不雅观攻击者,伪造并发送这些小数据包,各项资源消耗都极低,对于网络传输速度为3Mb/s的一个攻击者来说,攻击包的速率大约可达每秒(3Mb/8/40=9830)个,如果网络传输速度达到30Mb/s,单个攻击者的攻击包速率可为98300/s,如果再考虑到分布式攻击,情况将变得极为恶劣。 |
