資源描述:
《ddos攻擊的原理及防范ddos攻擊的策略》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、DDoS攻擊的原理及防范DDoS攻擊的策略[摘要][關(guān)鍵詞]彩,人們對網(wǎng)絡(luò)的依賴也愈來愈大.與此同時,網(wǎng)絡(luò)安全也面臨著前所未有的挑戰(zhàn),目前Internet安全的威脅主要來自于黑客的入侵攻擊,計算機病毒.分布式拒絕服務(wù)攻擊(DDoS)是近年來網(wǎng)絡(luò)上流行的,導致巨大經(jīng)濟損失的攻擊之一,為其建立有效的防御機制是當前維護網(wǎng)絡(luò)安全的重要日標.2.分布式拒絕服務(wù)的概念拒絕服務(wù)攻擊DoS是指當攻擊源通過假數(shù)據(jù),請求服務(wù)來淹沒正常服務(wù),使服務(wù)下降,失敗,以至于合法請求被丟失,忽略.這種攻擊使網(wǎng)站服務(wù)器充斥大量要求回復的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù).從
2、網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看,DoS是一種很簡單但又很有效的進攻方式.它的目的就是拒絕用戶的服務(wù)訪問,破壞組織的正常運行,最終它會使用戶的部分Internet連接和網(wǎng)絡(luò)系統(tǒng)失效.DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源,從而使合法用戶無法得到服務(wù).DDoS(分布式拒絕服務(wù)),它的英文全稱為DistributedDenialofService,是指采用分布式的攻擊方式,聯(lián)合或控制網(wǎng)絡(luò)上能夠發(fā)動DoS攻擊的若干主機同時發(fā)動攻擊,制造數(shù)以百萬計的數(shù)據(jù)分組流入欲攻擊的目標,致使流向目標的服務(wù)請求極度擁塞,從而造成目標的系統(tǒng)癱瘓.DDoS攻擊與
3、DoS攻擊不同之處在于DDoS利用一批受控制的機器向一臺機器發(fā)起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有較大的破壞性.它是一種基于DoS的特殊形式的拒絕服務(wù)攻擊,是一種分布,協(xié)作的大規(guī)模攻擊方式.DDoS攻擊不以獲取私有信息為目的,而是通過各種工具和方法消耗網(wǎng)絡(luò)帶寬資源,耗盡系統(tǒng)資源,或者針對系統(tǒng)編程和缺陷進行攻擊,以使系統(tǒng)的正常服務(wù)陷于癱瘓.3.DDoS攻擊原理DDoS采用多層的客戶/服務(wù)器模式,一個完整的DDoS攻擊體系一般包含四個部分:真正的攻擊者,控制主機,傀儡主機和目標主機.的特制程序,利用它來操縱整個攻擊過程,它向傀儡主機下達攻擊命令.傀儡主機:它接收從控制主機發(fā)過來的各種
4、命令.它們上面運行著一種特制程序產(chǎn)生數(shù)據(jù)流發(fā)送到被攻擊者.這些傀儡主機通常處在被攻擊者所屬網(wǎng)絡(luò)之外以逃避被攻擊者的有效響應,并且也處在真正的攻擊者網(wǎng)絡(luò)之外以避免被追蹤.目標主機:可以是路由器,交換機,主機.DDoS攻擊過程如下:掃描,隨機地或者是有針對性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機器,以尋找可入侵的主機目標,用來實施攻擊;入侵,攻擊者入侵有安全漏洞的主機并獲取控制權(quán),并把DDoS攻擊用的程序上載過去;通信,攻擊代理機會通過攻擊控制機告訴攻擊者它們已經(jīng)準備就緒,隨時等待攻擊命令:攻擊,攻擊者發(fā)布攻擊命令,一起向目標主機以高速度發(fā)送大量的數(shù)據(jù)包,導致它死機或是無法響應正常的請求.DD
5、oS攻擊的類型很多,常見的DDoS攻擊方法有TCP—SYNFlood,UDPFlood,ICMPFlood等,下面將分別介紹其原理.3.1TCP—SYNFlood每當我們進行一次標準的TCP連接會有一個三次握手的過程.在TCP/IP協(xié)議中,TCP協(xié)議提供可靠的連接服務(wù),采用三次握手建立一個連接.第一次握手:建立連接時,客戶端發(fā)送SYN包到服務(wù)器,并進入SYN_SEND狀態(tài),等待服務(wù)器確認:第二次握手:服務(wù)器收到SYN包后,必須確認客戶的SgN,同時自己也發(fā)送一個SYN包,即SYN+ACK包,此時服務(wù)器進入SYNREC7狀態(tài);第三次握手:客戶端收到服務(wù)器的SYN+ACK包,向服務(wù)器發(fā)送確認包A
6、CK,此包發(fā)送完畢,客戶端和服務(wù)器進入ESTABLISHED狀態(tài),完成三次握手,客戶端與服務(wù)器開始傳送數(shù)據(jù),如圖所示:請求方服務(wù)方一一一一一一一一一一一一一一一?hSYN作者簡介:李長隆,男,廣東潮州人,本科,助理工程師,研究方向:網(wǎng)絡(luò)信息安全,SYN—ACK.…………一一一一一一一一一一一一一一一一?一ACK而TCP—SYNFlood在它的實現(xiàn)過程中只有前兩個步驟,當服務(wù)方收到請求方的SYN并回送GYN+ACK確認消息后,請求方由于采用源地址欺騙等手段,致使服務(wù)方得不到ACK回應,這樣,服務(wù)方會在一定時間內(nèi)處于等待接收請求方ACK消息的狀態(tài),一臺服務(wù)器可用的TCP連接是有限的,如果惡意攻擊
7、方快速連續(xù)的發(fā)送此類連接請求,則服務(wù)器可用TCP連接隊列很快將會阻塞,系統(tǒng)可用資源,網(wǎng)絡(luò)可用帶寬急劇下降,無法向用戶提供正常的網(wǎng)絡(luò)服務(wù).3.2UDPFlood用戶數(shù)據(jù)包協(xié)議(UserDatagramProtocol,UDP)是一個無連接的協(xié)議.當數(shù)據(jù)包通過UDP發(fā)送時,在發(fā)送者和接收者之間沒有握手要求,接收系統(tǒng)將僅接收它必須處理的數(shù)據(jù)包.當大量的UDP包被發(fā)送到受害者系統(tǒng)時,會造成受害者系統(tǒng)網(wǎng)絡(luò)帶寬飽和,從而