分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。
小编通过一个简单的例子来说明一下什么叫DDOS攻击,比如把网站服务器看成一家超市,总共可以容纳500人购物,正常情况下可能都到不了500人,因为人员是在流动,有人进来购物,同时还有人结账结束购物。但是这个时候DDOS来了,DDOS雇佣了1000个不明情况的人来捣乱,这时候超市就变成了人挤人,正常的顾客根本无法购买超市的东西,也就是说服务器会出现大量的掉包现象可以说服务器基本属于无法访问。DDOS的危害:网站无法访问、消耗大量带宽、内存,处理方法无非就那么几种:
1,拿出你的money,买带宽;
2,封ip,宁可错“杀”一千,不可放过一个;
3,找出来谁干的,弄丫的(提醒:不要违法哦)
如果网站比较小的站长基本就是没办法,DDOS一般都是来势汹汹,基本不给你反应的时间,大量的流量突然涌进你的网站,根本无法预知。
DDoS攻击科普
DDoS的攻击原理,往简单说,其实就是利用TCP/UDP协议规律,通过占用协议栈资源或者发起大流量拥塞,达到消耗目标机器性能或者网络的目的,下面我们先简单回顾TCP“三次握手”与“四次挥手”以及UDP通信流程。
TCP三次握手与四次挥手
TCP建立连接:三次握手
1.client: syn
2.server: syn+ack
3.client: ack
TCP断开连接:四次挥手
1.client: fin(Finish)
2.server: ack 确认字符
3.server: fin
4.client: ack
UDP通信流程
根据上图可发现,UDP通信是无连接、不可靠的,数据是直接传输的,并没有协商的过程。
攻击原理与攻击危害
按照攻击对象的不同,将攻击原理和攻击危害的分析分成3类,分别是攻击网络带宽资源、应用以及系统。
攻击网络带宽资源:
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
UDP(User Datagram Protocol)协议全称是用户数据报协议 [1] ,在网络中它与TCP协议一样用于处理数据包,是一种无连接的协议。在OSI模型中,在第四层——传输层,处于IP协议的上一层。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。UDP用来支持那些需要在计算机之间传输数据的网络应用。
DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。
简单网络管理协议(SNMP Simple Network Management Protocol ),由一组网络管理的标准组成,包含一个应用层协议(application layer protocol)、数据库模型(database schema)和一组资源对象。该协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组(IETF,Internet Engineering Task Force)定义的internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
NTP是网络时间协议(Network Time Protocol),它是用来同步网络中各个计算机的时间的协议。
攻击系统资源:
攻击应用资源:
DDoS防护科普
攻击防护原理
从TCP/UDP协议栈原理介绍DDoS防护原理:
DoS即Denial of Service拒绝服务攻击,DDoS即Distributed Denial of Service分布式拒绝服务攻击。
DRDoS:即Distributed Reflect Denial of Service分布式反射拒绝服务攻击,是指利用路由器、服务器等设施对请求产生应答,从而反射攻击流量并隐藏攻击来源的一种分布式拒绝服务攻击技术。与Dos、DDoS不同,方式是发送大量带有被害者IP的数据包给攻击主机,攻击主机对IP源做大量回应。与DDoS不同在于不需要大量的“肉机”;攻击原理与Smurf攻击类似,但DRDoS可在广域网进行而Smurf攻击只能在局域网进行。原理为伪造源地址的SYN包发送给其他主机,这些主机会向源IP发SYN/ACK包从而导致拒绝服务。
僵尸网络是那些受感染计算机所组成的网络,攻击者可以远程控制每一台机器来执行恶意指令。
转自:
https://blog.csdn.net/ski_12/article/details/78686832
https://blog.csdn.net/qq_38461232/article/details/81490835