-
攻击DoS有很多方法。最基本的DoS攻击是使用合理的服务请求占用过多的服务资源,使合法用户无法得到服务的响应。
DDoS攻击是基于传统DoS攻击的一种攻击方式,单一DoS攻击通常采用一对一的攻击方式。当攻击目标CPU速度低、内存小或者网络带宽小等,其性能指标不高,它的效果是明显的。随着计算机技术和网络技术的发展,计算机的处理能力和内存的快速增长大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大恶意攻击包的消化加强了很多目标,比如你的攻击,每秒可以发送3000攻击包。但是,我的主机和网络带宽每秒可以处理10000个包,这样的攻击不会产生什么效果。
当时,分布式拒绝服务攻击(DDoS)应运而生,如果您理解DoS攻击,它非常简单,如果计算机和网络的处理能力提高10倍,如果攻击者受到攻击,它将不再工作。攻击者如何同时使用10个攻击者进行攻击100点怎么样DDOS正在使用更多的傀儡来攻击和攻击更大规模的受害者。
方便大家高速广泛连接的网络带来的,也为DDoS攻击非常创造了有利的条件。在低速网络时代,黑客攻击时占领傀儡机,他们总是优先考虑机器是接近目标网络,因为跳数少,和效果很好。现在电信骨干节点之间的连接是基于G级,大城市可以达到2.5G的连接,这使得从更远的地方或者其他城市发起,攻击者的傀儡机位置分布可以选择较大规模的攻击,更灵活。
DDOS攻击现象:
*受攻击主机上有大量等待TCP连接。
*网络中充满了大量无用的数据包,源地址是假的。
*制造高流量的无用数据,造成网络拥塞,使受伤的主机无法与外界沟通。
*利用受害人主机提供的服务或运输协议中的缺陷,并反复发出特定的服务请求,使受伤的主机不能及时处理所有正常的请求。
*系统的严重性会导致系统死亡。
进攻作战原则:
一个完整的DDoS攻击系统分为四个部分。首先,让我们来看看最重要的第二和第三部分:它们用于控制和实际攻击。请注意控制机和攻击者之间的区别。由于受害者的第四部分,DDoS攻击的实际攻击包是从第三部分攻击傀儡机发送,和控制机的第二部分只发布命令,但不参与实际的攻击。在电脑的第二和第三部分,黑客控制或控制部分,和相应的DDoS程序上传到平台上,这些程序与正常的程序运行并等待来自黑客的指令,通常会使用各种手段来隐藏自己不被发现。在和平时期,这些傀儡机也没什么特别的。一旦黑客连接到他们,以控制和发出指令,攻击者将成为攻击者攻击。
黑客是如何组织DDoS攻击的
这里使用的是组织这个词,因为DDoS并不像入侵主机那样简单,一般来说,黑客会在DDoS攻击中经历这样的一个步骤:
1。收集有关目标的信息
以下是黑客非常关心的信息:
*目标主机的数量和地址
*目标主机的配置和性能
*目标带宽
对于DDoS攻击,例如在互联网上的网站,攻击,关键是确定在网站的支持多少个主机,一个网站可能有很多使用WWW服务的负载均衡技术相同的网站主机的DDoS攻击。所以提前收集信息是非常重要的,这涉及多少木偶可以达到的效果。一个简单的考虑是,在相同的条件下,当攻击2台主机在同一地点需要2个傀儡机,这可能需要5个或更多的傀儡攻击5台主机,有人说更多的傀儡,攻击,更好的。不管怎样,无论你有多少主机,我都会尽可能多的攻击,也就是说,当傀儡机器结束时,效果会更好。
但在实际的过程中,很多黑客不收集信息,直接攻击DDOS。当时,这次袭击的盲目性非常大。更重要的是,这取决于运气。
2。占领傀儡机
黑客最感兴趣的是以下主机:
*良好的连接状态主机
*性能良好的主机
*缺乏安全管理的主机
这一部分实际上是攻击手段的另一大类的使用:使用形式的攻击。这是一个平行的DDoS攻击。在一个简单的方法,这是职业和被攻击主机的控制权。获得最高管理权限,或者至少得到有权完整的DDoS攻击的帐户。一个DDoS攻击,这是一个准备一定数量的木偶的必要条件,然后说他是如何攻击和占领。
首先,黑客做的工作一般是扫描,随机或有针对性地使用扫描器去查找那些在互联网上易受攻击的机器,如溢出和程序CGI、Unicode、FTP、漏洞……(这太多了,没提到啊),黑客们想看到结果,那是入侵的企图,这里没有具体的方法,网上有很多文章感兴趣。
总之,黑客现在已经占领了一个傀儡机器!他是做什么的除了已经说过的离开后门打印的基本工作,他还将上传DDoS攻击程序,通常使用FTP。在攻击者身上,将有一个DDoS包程序,它使用它向受害者发送恶意攻击包。
三.实际的攻击:
在仔细准备前2个阶段后,黑客开始瞄准目标并准备发射。当前线准备好时,实际攻击过程相当简单。如图所示,黑客以傀儡的身份登录控制台,并向所有攻击者发出命令:准备、瞄准、射击!当时,攻击者嵌入的DDoS攻击程序会响应控制台的命令,高速发送大量数据包给受害者,造成其崩溃或无法响应正常的请求。黑客通常远远超出受害者处理攻击的速度,他们不爱。
当攻击者进行侧面攻击时,效果将通过各种手段监视攻击,在需要时做出一些调整。简单的是打开一个窗口,不断ping目标主机,当它能收到响应时,就会增加一些流量或命令更多的傀儡机加入攻击。
DDoS的预防:
到目前为止,DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP / IP协议的漏洞,除非你不使用TCP / IP,可以完全抵御DDoS攻击的资深安全专家了。一个形象比喻:DDoS就像1000人在同一时间打电话给你。你的朋友还能参加吗
但是,即使是很难预防,也不是说我们应该接受,实际上阻止DDoS是绝对不可行的,互联网用户是各种各样的DDoS攻击,不同的角色有不同的任务,我们以以下角色为例:
*企业网络管理员
* ISP,ICP管理员
*骨干网络运营商
企业网络管理员:
作为内部网的管理者,网络管理员通常是安全人员和守护神,当他所维护的某些网络需要提供www服务时,他应该做什么,从而不可避免地成为DDoS攻击的目标它可以从主机和网络设备两个角度来考虑。
主机上的设置:
几乎所有的主机平台都有抵御DOS的设置。总之,有几种基本类型:
*关闭不需要的服务
*限制同时打开的SYN半连接的数目
*缩短SYN半连接的超时时间
*及时更新系统补丁
网络设备上的设置:
企业网络的网络设备可以从防火墙中考虑,这两个设备是外界的接口设备。在防止DDOS攻击的同时,要注意成本,降低效率,是否值得。
Firewall:
*禁止向主机访问非公开服务
*限制同一时间打开的SYN连接的最大数目。
*访问特定IP地址的限制
*启用防火墙的防DDOS属性
*严格限制对外开放的对外开放
第五个主要的事情是防止自己被用作伤害人们的工具。
:
以思科为例
*思科快速转发(CEF)
*使用单播反向路径
*访问控制列表(ACL)过滤
*设置SYN分组通信速率
*升级版低ISO
*用于建立日志服务器
应特别注意使用CEF和单播的设置。他们使用不当会导致工作效率严重下降,以及iOS的升级应该谨慎。是网络设备的核心,并与您分享建立未成年人的经验,不救。思科两启动配置和运行配置配置改变时,改变运行配置可以在一段时间内使这种配置(在LA的第一个35天),然后保存配置,是启动配置可行;如果不满意恢复原来的配置,复制开始上线运行。
ISP管理员:
ISP、ICP提供了很多中小企业的各种托管业务,所以在防DDoS攻击,要特别注意客户托管的主机在我们的管理范围,而不是傀儡机。客观地说,举办安全性普遍较差,有的甚至基本的补丁没有打将成为大多数黑客赤膊上阵,爱鸡作为一个ISP的管理员,有一个托管主机没有直接管理权,只能通知客户办理。在现实中,许多客户不与他们的主机托管服务提供商合作,这使得ISP管理员知道,托管主机谁知道自己的责任是一个傀儡机,但是没有办法处理托管是买方市场,ISP不敢得罪客户。你是做什么的让我们与客户搞好关系。没有办法。谁使人成为上帝呵呵,客户更合作,ISP的主机更安全,别人举报的可能性更小。
骨干网运营商:
他们对于互联网的生存提供物质基础。如果骨干网络运营商可以很好的工作,可以很好的防止DDoS攻击后,雅虎等知名网站遭到攻击2000,美国研究机构提出了一个解决DDoS攻击的运营商骨干网。其实方法很简单,那是,各运营商将验证自己出口的源IP地址。如果您在自己的路由表中没有得到包源IP的路由,就会丢失这个包,这种方法可以防止黑客使用伪造的源IP进行DDoS攻击,但这也会降低效率,这也是骨干运营商非常关注的问题,所以很难采用这种做法。
DDoS攻击的原理和应对方法的研究一直在进步,而不是有一天能找到一种有效、实用的解决方案。但至少我们可以实现网络和主机自己的维修,先让你的主机成为被别人攻击的对象;其次,在受到攻击时,要尽量保存证据,以便事后,一个好的网络和日志系统是必要的。无论是哪里的DDoS防御的发展,这将是一项社会工程,需要IT界的人们的关注和共同努力。