分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是指攻击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为正常用户提供服务。
当恶意的节点向网络发动攻击时,会有许多可用方式,其中最为常见的方式是DDoS攻击。
DDoS指分布式拒绝服务攻击,即操纵大量的电脑去频繁访问某网络,导致网络无法为其他节点提供服务。
像一帮无赖在银行恶意排队,导致后面的人无法获得服务。DDoS攻击会导致网络充满无用数据。对用户来讲,网络将无法正常访问。目前,DDoS攻击很难杜绝。Filecoin网络中发送信息需提供一定的FIL,这提高了DDoS攻击成本,降低了被攻击的可能。
1.DDoS攻击
DDoS算是一个统称,具体的攻击方式比如有:CC攻击、SYN攻击、NTP攻击、TCP攻击、DNS攻击
CC攻击:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面。当一个网页访问的人数特别多的时候,网页打开的就慢了,CC就是模拟多个用户,不停地进行访问那些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
SYN攻击:SYN攻击利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。
DDoS的危害
当服务器被DDos攻击时,一般会出现以下现象:
被攻击主机上有大量等待的TCP连接;
网络中充斥着大量的无用的数据包;
受害主机无法正常和外界通讯;
受害主机无法处理所有正常请求;严重时会造成系统死机。
对于用户来说,在常见的现象就是网站无法访问。
DDoS的防范
为了对抗 DDoS攻击,你需要对攻击时发生了什么有一个清楚的理解。简单来讲,DDoS 攻击可以通过利用服务器上的漏洞,或者消耗服务器上的资源(例如 内存、硬盘等等)来达到目的。
一般来说,可以用以下办法防范:
1、如果可以识别出攻击源,如机器IP等,可以在防火墙服务器上放置一份 ACL(访问控制列表) 来阻断这些来自这些 IP 的访问。
2、对于带宽消耗型攻击,最有效的办法那就是增加带宽。
3、提高服务器的服务能力,增加负载均衡,多地部署等。
4、优化资源使用提高 web server 的负载能力。例如,使用 apache 可以安装 apachebooster 插件,该插件与 varnish 和 nginx 集成,可以应对突增的流量和内存占用。
5、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案,它可以提供针对 DNS 或 TCP/IP3 到7层的 DDOS 攻击保护。
6、启用路由器或防火墙的反IP欺骗功能。
7、付费,使用第三方的服务来保护你的网站。
8、监控网络和 web 的流量。时刻观察流量变化
9、保护好 DNS 避免 DNS 放大攻击。
DDoS/表现形式
DDoS的表现形式主要有两种:
一种为流量攻击,就好比一个快递服务站(服务器),服务站的大门通道(带宽)是有限的,结果突然有很多垃圾包裹(攻击数据包)一起来到快递服务站进行快递投递,服务站的大门通道(带宽)一下就被占满了,造成的后果就是正常的包裹(正常的数据包)无法被送至快递服务站,服务站无法为正常的包裹提供相应的服务。
另一种为资源耗尽攻击,(在之前内容里曾介绍过这种攻击方式,)就好比一个快递服务站(服务器),服务站的包裹处理能力是有限的(CPU、内存等处理能力),大量的包裹(攻击数据包)导致快递服务站满负荷运转(CPU、内存等满负荷),造成的后果就是正常的包裹(正常的数据包)到达服务站后,服务站由于工作满负荷,无法为正常的包裹提供相应的服务。
DDOS/攻击方式
下面简单的为大家介绍几种DDoS的攻击方式:
TCP洪水攻击——我们知道TCP建立连接需要进行三次握手,这种攻击方式利用TCP协议的这个特点,发送大量伪造的TCP连接请求,使用假冒的IP或IP段作为源地址来发送海量的请求连接的第一个握手包(SYN包),被攻击的服务器回应第二个握手包(SYN+ACK包),因为对方是假冒的IP,所以对方永远收不到服务器回应的第二个握手包且不会对服务器回应第三个握手包。
导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求无法进行连接。
TCP全连接攻击——该攻击方式就是通过许多僵尸主机不断地与被攻击服务器建立大量真实的TCP连接,直到服务器的内存等资源被耗尽面被拖跨,从而造成拒绝服务,这种攻击的特点是由于连接是真实存在的,所以攻击可以绕过一般防火墙的防护而达到攻击目的,随着5G时代的来临和物联网的发展,物联网设备的安全性远低于PC,攻击者更容易获得大量“肉鸡”,相信僵尸主机的数量将更为庞大。
“肉鸡”:被黑客控制的可以联网的设备,比如我们的电脑、手机、路由器、服务器等等。
反射性攻击——该攻击方式靠的是黑客发送大量带有被攻击服务器IP地址的数据包给攻击主机,然后攻击主机对被攻击服务器做出大量回应,导致被攻击服务器服务瘫痪,无法再提供服务。
黑客客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果,从而四两拨千斤。一般来说,可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SSDP服务、Chargen服务、Memcached等。
对于网络攻击,没有任何办法彻底阻止和避免 ,只能尽最大努力不断提高黑客攻击成本。