<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 IT技術 安全攻防 查看內容

              DDoS攻擊方式和原理

              2018-9-24 08:32| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 什么是DDoS攻擊?分布式拒絕服務(DDoS)攻擊是一種惡意企圖,通過大量互聯網流量壓倒目標或其周圍的基礎架構來破壞目標服務器,服務或網絡的正常流量。DDoS攻擊通過利用多個受損計算機系統作為攻擊流量來源來實現有 ...

              什么是DDoS攻擊?

              分布式拒絕服務(DDoS)攻擊是一種惡意企圖,通過大量互聯網流量壓倒目標或其周圍的基礎架構來破壞目標服務器,服務或網絡的正常流量。DDoS攻擊通過利用多個受損計算機系統作為攻擊流量來源來實現有效性。被利用的機器可以包括計算機和其他網絡資源,例如物聯網設備。從高層次來看,DDoS攻擊就像堵塞高速公路的交通堵塞,阻止了常規交通到達其所需的目的地。

              DDoS攻擊如何工作?

              DDoS攻擊需要攻擊者控制在線計算機網絡才能進行攻擊。計算機和其他計算機(如物聯網設備)感染了惡意軟件,將每個計算機轉變為機器人(或僵尸)。然后,攻擊者可以遠程控制僵尸程序組,這稱為僵尸網絡

              一旦僵尸網絡建立,攻擊者就可以通過遠程控制方法向每個機器人發送更新的指令來指導機器。受害者IP地址被僵尸網絡作為目標時,每個僵尸程序將通過向目標發送請求來響應,可能導致目標服務器或網絡溢出容量,從而導致對正常流量拒絕服務由于每個機器人都是合法的Internet設備,因此將攻擊流量與正常流量分開可能很困難。

              什么是常見類型的DDoS攻擊?

              不同的DDoS攻擊向量針對網絡連接的不同組件。為了理解不同的DDoS攻擊是如何工作的,有必要知道如何建立網絡連接。因特網上的網絡連接由許多不同的組件或“層”組成。就像從頭開始建造房屋一樣,模型中的每一步都有不同的目的。OSI模型,如下所示,是用來描述在7不同的層的網絡連接的概念框架

              雖然幾乎所有DDoS攻擊都涉及壓倒目標設備或網絡流量,但攻擊可分為三類。攻擊者可以使用一個或多個不同的攻擊向量,或者可能基于目標采取的反制措施來循環攻擊向量。

              應用層攻擊

              攻擊的目標:

              有時被稱為第7層DDoS攻擊(參考OSI模型的第7層),這些攻擊的目標是耗盡目標的資源。攻擊的目標是在服務器上生成網頁并響應HTTP請求而傳遞的層單個HTTP請求在客戶端執行起來很便宜,并且目標服務器響應起來可能很昂貴,因為服務器通常必須加載多個文件并運行數據庫查詢才能創建網頁。第7層攻擊難以防御,因為流量很難被標記為惡意攻擊。

              應用層攻擊示例:HTTP Flood

              此攻擊類似于同時在多個不同計算機上反復按Web瀏覽器中的刷新 - 大量HTTP請求泛濫服務器,導致拒絕服務。

              這種類型的攻擊范圍從簡單到復雜。更簡單的實現可以訪問具有相同范圍的攻擊IP地址,引用者和用戶代理的一個URL。復雜版本可能使用大量攻擊性IP地址,并使用隨機引用和用戶代理來定位隨機URL。

              協議攻擊

              攻擊的目標:

              協議攻擊(也稱為狀態耗盡攻擊)通過消耗Web應用程序服務器或防火墻和負載平衡器等中間資源的所有可用狀態表容量來導致服務中斷。協議攻擊利用協議棧的第3層和第4層中的弱點來使目標不可訪問。

              協議攻擊示例:

              SYN Flood

              SYN Flood類似于接收來自商店前面的請求的供應室中的工作人員。工作人員收到請求,去取得包裹,并在將包裹拿出前等待確認。然后,工作人員在沒有確認的情況下獲得更多的包請求,直到他們無法攜帶更多的包,變得不堪重負,并且請求開始無人接聽。

              此攻擊通過向目標發送具有欺騙性源IP地址的大量TCP“初始連接請求”SYN數據包來利用TCP握手目標機器響應每個連接請求,然后等待握手中的最后一步,這一步從未發生過,耗盡了進程中的目標資源。

              容量攻擊

              攻擊的目標:

              此類攻擊試圖通過消耗目標與較大Internet之間的所有可用帶寬來創建擁塞。通過使用放大形式或其他創建大量流量的方式(例如來自僵尸網絡的請求)將大量數據發送到目標。

              擴增示例:

              DNS放大

              一個DNS放大就像如果有人打電話給餐廳和說:“我所擁有的一切的一個,請給我打電話,告訴我,我的整個秩序,”他們給回調的電話號碼是目標的數量。只需很少的努力,就會產生很長的響應。

              通過向具有欺騙IP地址(目標的真實IP地址)的開放DNS服務器發出請求,目標IP地址然后從服務器接收響應。攻擊者構造請求,以便DNS服務器以大量數據響應目標。結果,目標接收到攻擊者初始查詢的放大。

              減輕DDoS攻擊的過程是什么?

              減輕DDoS攻擊的關鍵問題是區分攻擊和正常流量。例如,如果產品發布的公司網站被熱切的客戶所淹沒,那么切斷所有流量是錯誤的。如果該公司突然出現來自已知不良行為者的流量激增,則可能需要努力減輕攻擊。困難在于它將真實客戶和攻擊流量區分開來。

              在現代互聯網中,DDoS流量有多種形式。設計的流量可以從未欺騙的單一來源攻擊到復雜的自適應多向量攻擊。多向量DDoS攻擊使用多個攻擊路徑以不同方式壓倒目標,可能會分散任何一條軌跡上的緩解措施。同時針對協議棧的多個層的攻擊,例如與HTTP泛洪(目標層7)耦合的DNS放大(目標層3/4)是多向量DDoS的示例。

              減輕多向量DDoS攻擊需要各種策略以對抗不同的軌跡。一般來說,攻擊越復雜,流量越難以與正常流量分離 - 攻擊者的目標是盡可能地混合,使緩解盡可能低效。涉及不加選擇地丟棄或限制流量的緩解嘗試可能會帶來良好的流量,并且攻擊也可以修改和適應以規避對策。為了克服復雜的破壞嘗試,分層解決方案將帶來最大的好處。

              黑洞布線

              幾乎所有網絡管理員都可以使用的一種解決方案是創建黑洞路由并將流量匯集到該路由中。在最簡單的形式中,當在沒有特定限制標準的情況下實施黑洞過濾時,合法和惡意網絡流量都被路由到空路由或黑洞并從網絡中丟棄。如果Internet屬性遇到DDoS攻擊,則該屬性的Internet服務提供商(ISP)可能會將所有站點的流量發送到黑洞作為防御。

              限速

              限制服務器在特定時間窗口內接受的請求數量也是減輕拒絕服務攻擊的一種方法。雖然速率限制有助于減緩網絡抓取工具竊取內容和減少強力登錄嘗試,但僅憑它可能不足以有效地處理復雜的DDoS攻擊。然而,速率限制是有效DDoS緩解策略中的有用組件。了解Cloudflare的速率限制

              Web應用防火墻

              Web應用防火墻(WAF)是一種工具,可以有助于減輕層7 DDoS攻擊。通過在Internet和源服務器之間放置WAF,WAF可以充當反向代理,保護目標服務器免受某些類型的惡意流量的影響。通過基于用于識別DDoS工具的一系列規則過濾請求,可以阻止第7層攻擊。有效WAF的一個關鍵值是能夠快速實施自定義規則以響應攻擊。了解Cloudflare的WAF

              任播網絡擴散

              此緩解方法使用Anycast網絡將攻擊流量分散到分布式服務器網絡中,直至網絡吸收流量。就像將湍急的河流引入不同的較小通道一樣,這種方法可以將分布式攻擊流量的影響擴展到可管理的程度,從而擴散任何破壞性功能。

              Anycast網絡緩解DDoS攻擊的可靠性取決于攻擊的大小以及網絡的規模和效率。Cloudflare實施的DDoS緩解的一個重要部分是使用Anycast分布式網絡。Cloudflare具有15 Tbps網絡,比記錄的最大DDoS攻擊大一個數量級。

              如果您目前處于攻擊狀態,可以采取措施擺脫壓力。如果您已經使用Cloudflare,則可以按照以下步驟緩解攻擊。我們在Cloudflare實施的DDoS保護是多方面的,以減輕許多可能的攻擊媒介。了解有關Cloudflare DDoS保護及其工作原理的更多信息。



              Tag標簽:

              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6604413145165333006/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

              最新

              返回頂部
              十一选五奖金对照表