分布式拒絕服務攻擊(DDoS)是目前黑客經常采用而難以防範的攻擊手段。本文從概念開始詳細介紹了這種攻擊方式,著重描述了黑客是如何組織並發起的DDoS攻擊,結合其中的Syn Flood實例,您可以對DDoS攻擊有壹個更形象的了解。最後作者結合自己的經驗與國內網絡安全的現況探討了壹些防禦DDoS的實際手段。 DDoS攻擊概念
DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。 DDoS攻擊手段是在傳統的DoS攻擊基礎之上產生的壹類攻擊方式。單壹的DoS攻擊壹般是采用壹對壹方式的,當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網絡技術的發展,計算機的處理能力迅速增長,內存大大增加,同時也出現了千兆級別的網絡,這使得DoS攻擊的困難程度加大了-目標對惡意攻擊包的"消化能力"加強了不少,例如妳的攻擊軟件每秒鐘可以發送3,000個攻擊包,但我的主機與網絡帶寬每秒鐘可以處理10,000個攻擊包,這樣壹來攻擊就不會產生什麽效果。
這時侯分布式的拒絕服務攻擊手段(DDoS)就應運而生了。妳理解了DoS攻擊的話,它的原理就很簡單。如果說計算機與網絡的處理能力加大了10倍,用壹臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發起進攻,以比從前更大的規模來進攻受害者。
高速廣泛連接的網絡給大家帶來了方便,也為DDoS攻擊創造了極為有利的條件。在低速網絡時代時,黑客占領攻擊用的傀儡機時,總是會優先考慮離目標網絡距離近的機器,因為經過路由器的跳數少,效果好。而現在電信骨幹節點之間的連接都是以G為級別的,大城市之間更可以達到2.5G的連接,這使得攻擊可以從更遠的地方或者其他城市發起,攻擊者的傀儡機位置可以在分布在更大的範圍,選擇起來更靈活了。
被DDoS攻擊時的現象
被攻擊主機上有大量等待的TCP連接
網絡中充斥著大量的無用的數據包,源地址為假
制造高流量無用數據,造成網絡擁塞,使受害主機無法正常和外界通訊
利用受害主機提供的服務或傳輸協議上的缺陷,反復高速的發出特定的服務請求,使受害主機無法及時處理所有正常請求
嚴重時會造成系統死機