专栏首页信息化漫谈DDOS攻击的两种方式

DDOS攻击的两种方式

#互联网攻击已成常态

辛苦建好了自己的私有云、公有云环境,发现安全是不容忽视的重要角落。像私有云的环境,出口带宽往往只有几百兆,而攻击流程现在超过Tb级。随着安全事件的频繁,安全人员的工资也水涨船高,在互联网企业成为重要的支撑岗位。我们对耳熟能祥的DDOS攻击进行再次的简要学习。

一、DDOS攻击像狼群战术

DDOS攻击主要针对有商业价格的网站,例如游戏服务器、网吧等,攻击时间短、流量大、突发性大、防御难度大。

就像国庆节等重大节目放假时,平常正常的高速公路收费站,突然涌入太多的汽车,造成全部中断。如同下图。

DDOS攻击有两种类型:带宽型攻击、资源消耗型攻击。带宽型攻击使用超Tb级的带宽直接堵塞服务器的所有带宽,造成正常业务带宽被阻塞;如同高速路收费站,正常每小时收费5000台汽车,如果同时来了500百万台恶意的汽车阻塞,则正常汽车通行则全面受阻。而资源消耗型攻击则消耗服务器的正常响应,主要是http、tcp类的握手式攻击;如同高速路收费站,恶意的汽车到收费站,收费员要求司机缴费,而司机拒绝回话,造成单个用户的收费处理时间大幅上升。

二、DDOS攻击原理

攻击者(Attacker)控制了大量的僵尸主机(Zombies),用于攻击Web网站等,攻击者一般会通过跳板机进行控制(避免被追溯)。目前随着互联网的用户带宽提速,一般用户带宽会达到100M、200M,因此目前的DDOS攻击带宽超Tb级将成为常态。

三、常见的三种攻击

1、Syn Flood,利用Tcp的三次握手机制进行攻击。正常用户访问服务器是3次握手,每次握手将消耗服务器的正常资源。而攻击者可以通过伪造源ip地址、或直接用大量肉鸡ip,发送请求报文,对服务器的握手成功请求不回应,造成服务器大量的资源被消耗。这种攻击是资源消耗型的攻击,是最难防的一种攻击类型。

该类型攻击的防护,可以通过防火墙方式进行防护。客户对服务器的访问,将通过防火墙进行代理,由防火墙对客户进行三次握手,成功之后,再由防火墙向真实的服务器进行三次握手。所有流程如果正常,来自该客户的ip将通过SynCookie记录,以后直接通过,以提高访问效率。

2、DNS Flood,利用DNS请求不需要三次握手确认,大量请求DNS业务,造成DNS服务器中断。攻击者利用伪造的ip地址大量发起dns查询的请求,造成递归dns服务器存储了大量的dns、ip的映射信息,造成正常DNS请求失效。DNS Flood也属于资源消耗型的攻击。

DNS攻击也可以造成反射攻击。攻击者发起小流量 4M的伪造ip地址(某网吧的真实地址),DNS将查询到的DNS信息发送给该伪造ip地址,流量可能达到100M,造成某网吧接受到大量的流量,影响正常网吧业务。

3、HTTP Flood,可以利于服务器查询数据库造成业务过载。例如下图,攻击者发起大量的需要数据库验证的攻击请求(如验证用户名密码是否正确),造成Web Server向后台的数据库发起大量业务请求,从而造成真实的业务请求无法回应,该攻击方式也是大家熟悉的CC攻击。

本文分享自微信公众号 - 信息化漫谈(informationwalk),作者:新梦飞

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-05-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 大型网站从0到壮大系列--分布式进化

    最近拟将知识系统疏理一下,从大型网站从0到壮大的演进过程是漫长的演进,不能一蹴而就,合适自己企业的系统就是最好的系统。

    希望的田野
  • 2019年云安全趋势分析(二)

    DDOS攻击呈现次数多、强度高、手法新、来源广等特点。2019年6月来自于DDOS的攻击呈爆发式增长,从GB级攻击来到了TB级攻击。在2018年发发生一起1.7...

    希望的田野
  • 上个小菜:大型网站的访问全流程

    访问一个大型网站,当你输入www.sina.com.cn网址后,几秒后,在网页中显示了具体内容,这一切经历了什么?其实台上一分钟,台下十年功,背后发生了很多事,...

    希望的田野
  • 分布式机器学习框架与高维实时推荐系统

    导读:随着互联网的高速发展和信息技术的普及,企业经营过程中产生的数据量呈指数级增长,AI 模型愈发复杂,在摩尔定律已经失效的今天,AI 的落地面临着各种各样的困...

    石晓文
  • 【观点】社会网络分析:探索人人网好友推荐系统

    image.png 最近四五年间,互联网行 业似乎总是绕不开社交网络这个概念。无论是旗舰级别的传说中的facebook、LinkedIn,还是如雨后春笋般冒...

    小莹莹
  • 如何成为一个黑客?

    很多人要成为高大上的黑客需要学习哪些基本功? 能盗取账号,能攻击服务器? 再牛的黑客起码是一个合格的程序员 所以说想成为黑客先成为合格的程序再说,说别的就是空谈...

    程序员互动联盟
  • centos7-关闭防火墙

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    suveng
  • 浅谈DNS放大攻击的工作原理以及防御措施?

    DDOS分布式拒绝服务,主要是针对目标系统的恶意网络攻击行为,导致被攻击者的业务无法正常访问。相信各位站长对于DDOS已经是耳熟能详,倒背如流了的境界了,但是对...

    墨者安全科技
  • CentOS 7 开放防火墙端口命令

    CentOS 7 开放防火墙端口 命令         最近公司新的server要求用CentOS7, 发现以前CentOS 6 系列中的 iptables 相...

    庞小明
  • 去Apple,去杀软,去IOE,谁成受益者?

    昨天有媒体报道中国政府已经将iPad、MacBook在内的十几款苹果产品被排除在政府采购名单之外。而微软Win 8电脑早被移出名单之外,近日微软又遭受到中国...

    罗超频道

扫码关注云+社区

领取腾讯云代金券