浅析分布式拒绝服务攻击原理及防范
了解分布式拒绝服务攻击防范计算机病的新威胁
了解分布式拒绝服务攻击防范计算机病的新威胁随着计算机技术的不断发展,网络安全问题也变得越发重要。
其中一种常见的网络安全威胁是分布式拒绝服务(DDoS)攻击。
本文将探讨分布式拒绝服务攻击作为计算机病的新威胁,并提供相应的防范措施。
1. 简介及背景分布式拒绝服务攻击是指攻击者利用多个计算机系统向目标服务器发送大量请求,导致目标服务器无法正常处理合法用户的请求,从而使目标系统无法提供正常的服务。
这种攻击通常使用僵尸网络,即被攻击者控制的大量受感染计算机构成的网络。
DDoS攻击规模庞大,并且难以追踪和阻止,因此成为网络安全的新威胁。
2. 攻击方式和危害DDoS攻击的主要方式有三种:HTTP floods(HTTP泛洪攻击),UDP floods(UDP泛洪攻击)和SYN floods(SYN泛洪攻击)。
攻击者通过将大量无效或伪造的请求发送到目标服务器,耗尽目标服务器的资源。
这种攻击可能导致系统崩溃、暂时性服务中断、数据泄露等严重后果,给企业和用户带来经济和声誉上的损失。
3. 防范措施为了保护网络免受DDoS攻击,以下是一些常见的防范措施:3.1 加强网络安全意识培养员工对网络安全的认识和意识是防范DDoS攻击的第一步。
通过组织网络安全培训、定期提醒员工注意网络安全风险等方式,提高员工的网络安全素养,从而减少安全漏洞。
3.2 配置防火墙防火墙可以帮助阻止非法连接和恶意流量,从而减少DDoS攻击的影响。
合理配置防火墙规则,限制流量并过滤异常请求,可以有效提高网络的安全性。
3.3 使用入侵检测系统(IDS)和入侵防御系统(IPS)IDS和IPS是网络安全设备,能够检测和响应潜在的DDoS攻击。
它们可以通过实时监测网络流量,并触发警报、封锁攻击源IP等方式来阻止攻击。
3.4 利用负载均衡技术负载均衡技术可以将流量分散到多个服务器上,从而降低单一服务器受到DDoS攻击的风险。
当一个服务器受到攻击时,其他服务器可以继续提供服务,确保网络的正常运行。
拒绝服务攻击及预防措施
拒绝服务攻击及预防措施拒绝服务攻击(Denial-of-Service Attack,简称DoS攻击)是一种常见的网络攻击方式,它以意图使目标系统无法正常提供服务的方式进行攻击,给网络安全带来了严重的威胁。
本文将介绍拒绝服务攻击的原理和常见类型,并提供一些预防措施以保护系统免受此类攻击的影响。
一、拒绝服务攻击的原理拒绝服务攻击的核心原理是通过向目标系统发送大量的请求,耗尽其处理能力或网络带宽,从而使其无法对合法用户提供正常服务。
攻击者可以利用多种方式进行DoS攻击,下面是一些常见的攻击类型:1. 集中式DoS攻击(Conventional DoS Attack)集中式DoS攻击是指通过一个或多个源(攻击者)向目标服务器发送大量请求。
这种攻击利用了网络协议本身的设计漏洞或系统资源限制,例如TCP/IP握手过程中的资源消耗问题,使得目标服务器无法正常处理合法用户请求。
2. 分布式拒绝服务攻击(Distributed Denial-of-Service Attack,简称DDoS攻击)分布式拒绝服务攻击是由多个不同的源(攻击者)同时向目标系统发起攻击,通过同时攻击的规模和多样性来超过目标系统的处理能力。
攻击者通常通过僵尸网络(Botnet)来执行此类攻击。
二、拒绝服务攻击的预防措施为了有效地应对拒绝服务攻击,以下是一些常见的预防措施:1. 增加网络带宽网络带宽是系统处理大量请求的关键资源之一。
增加网络带宽可以提高系统的处理能力,减轻拒绝服务攻击带来的影响。
同时,合理使用流量限制等机制可以控制并阻止一些恶意流量对系统的影响。
2. 强化网络设备和操作系统的安全性网络设备和操作系统的安全性是防范拒绝服务攻击的重要环节。
更新并及时修补设备和操作系统的安全漏洞,使用最新的防火墙、入侵检测系统和安全软件等网络安全工具来检测和阻止攻击流量。
3. 流量过滤和负载均衡通过使用流量过滤和负载均衡等技术,可以识别和过滤掉来自攻击者的恶意流量,将合法用户的请求分配到不同的服务器中进行处理,从而防止拒绝服务攻击对目标系统造成影响。
浅谈分布式拒绝服务攻击的原理及防范
浅谈分布式拒绝服务攻击的原理及防范摘要:随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,分布式拒绝服务攻击手段应运而生,其破坏性和危害程度更大。
本文通过研究其攻击原理及特征手段,最后列举了有效的防御办法。
关键字:拒绝服务攻击;攻击识别;防护策略引言随着人工智能、大数据等新兴技术的发展,人们的生活和工作带来了前所未有的方便与快捷,但在提供便捷的同时也带来了网络安全的挑战。
在各种各类的安全威胁中,危害较为严重的攻击手段之一就是分布式拒绝服务攻击(DDoS),这种攻击入侵企业平台,窃取人们的隐私,导致个人以及企业损失的财产巨大【1】,造成极其恶劣的影响。
一、DDoS攻击技术分布式拒绝服务攻击(DDoS)是指攻击者通过控制分布在网络各处数以百计甚至数千台傀儡主机(又称“肉鸡”),发动它们同时向攻击目标进行拒绝服务攻击。
分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。
如图1所示,一个比较完善的DDoS攻击体系分成四大部分,分别是攻击者(Attacker)也可以称为(Master)、控制傀儡机(Handler)、攻击傀儡机(Demon)和受害者(Victim)【2】。
图1中的第二层和第三层,分别用做控制和实际发起攻击。
第二层的控制机只发布令而不参与实际的攻击,第三层的攻击傀儡机上发出DDoS的实际攻击包。
对第二层和第三层的计算机,攻击者有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自攻击者的指令,通常它还会利用各种手段隐藏自己不被别人发现。
在平时,这些傀儡机器并没有什么异常,只是一旦攻击者连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为攻击者去发起攻击了。
图1 基于僵尸网络的DDoS攻击体系整个过程可分为:(1)扫描大量主机以寻找可入侵主机目标;(2)有安全漏洞的主机并获取控制权;(3)入侵主机中安装攻击程序;(4)用己入侵主机继续进行扫描和入侵。
如何识别和防止网络分布式拒绝服务攻击
如何识别和防止网络分布式拒绝服务攻击网络分布式拒绝服务攻击(DDoS攻击)是一种常见的网络安全威胁,它通过同时向目标服务器发送大量的请求流量,导致服务器超负荷运行,无法处理正常的用户请求。
这种攻击可能会造成服务不可用、数据泄露甚至网络瘫痪。
为了保护网络安全,我们需要识别和防止DDoS攻击。
本文将介绍几种常见的DDoS攻击识别和防御方法。
一、识别DDoS攻击1. 监控网络流量:通过监控网络流量,特别是入站和出站流量的变化,可以发现异常的流量峰值。
DDoS攻击通常会导致网络流量的异常增加,因此及时的流量监控是识别攻击的重要依据。
2. 分析流量模式:DDoS攻击往往以特定的模式进行,例如TCP SYN Flood攻击、UDP Flood攻击等。
监测网络流量中的这些模式可以帮助我们识别潜在的DDoS攻击。
3. 异常行为检测:DDoS攻击往往会导致服务器性能下降、服务异常等。
通过监测服务器性能指标和服务响应状态,可以及时发现异常行为,并判断是否遭受DDoS攻击。
二、防止DDoS攻击1. 强化网络基础设施:提升服务器和网络设备的处理能力、带宽容量等,以承受更大规模的攻击。
此外,定期更新系统和应用程序补丁,及时修复漏洞,也是防止DDoS攻击的重要措施。
2. 使用防火墙和入侵检测系统:防火墙可以过滤恶意流量,将正常的用户请求传递给服务器,拦截攻击流量。
入侵检测系统可以监测网络中的异常行为,及时发现DDoS攻击。
3. 加密和身份验证:通过使用加密技术和身份验证来保护服务器和网络设备,限制非法访问和恶意请求。
这种方式可以减轻DDoS攻击的影响,并提高安全性。
4. 使用流量清洗服务:流量清洗服务提供商可以通过专业的设备和技术,清除DDoS攻击流量,将正常的用户流量传递给服务器。
这种服务可以有效地防止DDoS攻击对网络服务的影响。
5. 进行容量规划:通过对网络流量的规划和容量分配,可以预留一定的带宽和资源来应对DDoS攻击,减轻攻击带来的影响。
网络安全威胁解析分布式拒绝服务攻击
网络安全威胁解析分布式拒绝服务攻击网络安全威胁解析——分布式拒绝服务攻击随着互联网的飞速发展,网络安全问题日益凸显。
其中,分布式拒绝服务(Distributed Denial of Service,DDoS)攻击作为一种常见的网络安全威胁形式,给互联网用户和企业带来了严重的经济和声誉损失。
本文将对DDoS攻击进行解析,从攻击原理、分类、防御策略等多个方面来全面认识这种网络威胁。
一、攻击原理DDoS攻击基于客户端/服务器模型,攻击者利用大量合法主机向目标主机发送请求,以达到耗尽目标主机资源的目的,从而使其无法继续正常服务。
具体来说,DDoS攻击通常包括以下几个步骤:1. 攻击者将恶意软件注入到众多的傀儡主机中,形成一个"僵尸网络"(Botnet)。
2. 攻击者通过控制端(Command and Control,C&C)指挥傀儡主机,使其向目标主机发起请求。
3. 目标主机面对海量的请求,其网络带宽、CPU、内存等资源会逐渐饱和,无法继续正常服务。
4. 如果未能及时阻断攻击流量,DDoS攻击还可能导致网络设备过载、服务中断甚至系统崩溃。
二、攻击分类根据攻击手段和使用的技术,DDoS攻击主要可以分为以下几类:1. 带宽型攻击(Bandwidth Attacks):攻击者通过洪泛(Flood)方式向目标主机发送海量数据流量,使其网络带宽饱和,导致服务无法正常运行。
2. 连接型攻击(Connection Attacks):攻击者通过创建大量伪造的连接请求或者保持大量半连接状态,使目标主机的TCP连接资源被消耗殆尽,从而无法继续接受新的连接请求。
3. 资源消耗型攻击(Resource Consumption Attacks):攻击者利用目标主机的CPU、内存等资源进行攻击,通过发送高计算复杂度的请求或占用过量的系统资源,使目标主机无法正常处理其他合法请求。
4. 应用层攻击(Application Layer Attacks):攻击者通过向目标主机发送合法的请求(如HTTP GET请求),但请求的特点使得目标主机需要耗费大量的计算资源来进行处理,从而降低服务的可用性。
浅析分布式拒绝服务攻击原理及防范
浅析分布式拒绝服务攻击原理及防范摘要:在网络安全中,分布式拒绝服务攻击已经成为最大的威胁之一,由于破坏性大,而且难于防御成为黑客经常采用的攻击手段。
本文简要分析了分布式拒绝服务攻击的原理和基本实施方法,并介绍了发生此类攻击时的防范和应对措施。
关键词:拒绝服务;分布式拒绝服务;网络安全;防火墙;数据包1DDoS概念DoS是Denial of Service的简称,中文译为拒绝服务,也就是有计划的破坏一台计算机或者网络,使主机或计算机网络无法提供正常的服务。
DoS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。
这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。
最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。
带宽攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。
网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是在传统的拒绝服务攻击的基础上发展起来的网络攻击手段,具有危害巨大,难以预防等特点,是目前比较典型的一种黑客攻击手段。
这种攻击主要借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS 攻击,从而成倍地提高拒绝服务攻击的威力。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
通常,攻击者通过入侵主机将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理主机通讯,代理程序已经被安装在Internet 上的许多计算机上。
代理程序收到指令时就发动攻击。
利用客户/服务器技术,主控程序能在几秒钟内激活成百上千个代理程序。
2受到攻击时的现象当一台主机被DDoS攻击时,通常会显示如下现象:2.1查看CPU使用率和内存利用率的变化在主机上可以通过查看CPU使用率和内存利用率,来简单有效的了解服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。
如何进行分布式拒绝服务攻击防御(三)
分布式拒绝服务攻击(DDoS)是一种网络攻击方式,通过同时向目标服务器发送大量请求,使其服务能力达到极限,从而导致服务不可用。
面对这种威胁,我们需要采取一系列的防御措施来保护自己的网络和服务器。
本文将从网络监控、流量分析、灵活的资源分配以及防火墙设置等角度讨论如何进行分布式拒绝服务攻击防御。
1. 网络监控网络监控是分布式拒绝服务攻击防御的重要一环。
通过监控流量和服务质量,我们可以及时发现异常情况并采取相应的应对措施。
可以利用各种网络监控工具实时监测网络流量,并设置报警机制,一旦发现异常流量波动,及时报警并进行处理。
此外,建立攻击流量的模型和标准,可以通过机器学习的手段自动检测并识别DDoS攻击。
2. 流量分析流量分析是对网络数据包进行深入分析的过程,可以帮助我们识别和分离正常和异常流量。
通过分析数据包,我们可以确定攻击者的来源IP地址、攻击类型、攻击策略等信息,从而有针对性地进行防御。
在流量分析中,可以利用负载均衡器和防火墙等设备,通过设定阈值和策略来过滤和拦截异常流量,以保证正常的网络服务。
3. 灵活的资源分配在发生DDoS攻击时,调整资源的分配可以有助于减轻攻击对网络的影响。
通过动态分配计算机、带宽和存储资源,我们可以减缓攻击流量对目标服务器的压力。
一种方法是利用云计算的技术,将服务器部署在多个地理位置,并利用负载均衡技术将流量分散到多个服务器上,从而降低单台服务器的负载压力。
4. 防火墙设置防火墙是保护网络安全的关键组成部分,可以通过限制进出网络的网络流量来防止DDoS攻击。
在防火墙设置中,可以采取以下措施来提高防御能力:首先,限制源IP的连接数,对来自同一IP的连接进行限制,防止大量请求同时涌向服务器;其次,通过连接速率限制,限制单个连接的数据传输速率,避免一次大量数据传输导致服务器崩溃;还可以使用黑名单和白名单机制,对可信和可疑的IP地址进行过滤。
5. 安全认证和加密安全认证和加密是保护网络免受恶意攻击的有效方法。
网络IP的DDoS(分布式拒绝服务)攻击与防御
网络IP的DDoS(分布式拒绝服务)攻击与防御在当今数字化时代,网络IP的DDoS(分布式拒绝服务)攻击已成为一种广泛存在的威胁。
DDoS攻击的目标是通过超载目标服务器、网络或应用程序,使其无法正常运行,从而造成用户无法使用目标系统的情况。
本文将探讨网络IP的DDoS攻击的原理、影响以及防御方法。
一、DDoS攻击的原理DDoS攻击利用了网络的特性,通过将大量的请求发送给目标服务器或网络,以消耗其带宽和计算资源,从而导致目标系统无法正常服务。
这些请求可以来自世界各地的多个IP地址,形成一个分布式的攻击网络,使得攻击更加难以进行追踪和阻止。
二、DDoS攻击的影响1. 服务不稳定:DDoS攻击会导致目标服务器或网络的服务不稳定,造成延迟和丢包,从而影响用户的正常访问体验。
2. 数据泄露和损坏:攻击者可能利用DDoS攻击转移目标系统的注意力,从而进行其他恶意活动,如数据泄露、数据损坏等。
3. 经济损失:DDoS攻击会导致目标系统的服务中断,给企业和机构带来直接的经济损失,尤其是那些依赖互联网进行业务的企业。
三、DDoS攻击的防御方法1. 流量清洗:企业和机构可以采用流量清洗的方法,在流量进入网络之前进行过滤和分析,识别和阻止DDoS攻击。
2. 负载均衡:通过使用负载均衡设备,可以将流量分散到多个服务器上,使得攻击流量可以被平均分摊,从而减轻单个服务器的压力。
3. 增加带宽:提高网络带宽可以让目标系统更好地抵御DDoS攻击,因为攻击者往往需要大量的流量来达到攻击的目的。
4. 日志分析和监测:监测网络流量和日志可以帮助企业和机构及时发现DDoS攻击,从而采取相应的防御措施。
5. 协同防御:企业和机构可以与互联网服务提供商、安全厂商等建立合作关系,通过共享攻击信息和协同防御来共同应对DDoS攻击。
总结:DDoS攻击作为一种常见的网络威胁,给企业、机构和个人带来了巨大的影响和损失。
为了保护自身免受DDoS攻击的威胁,我们需要认识到该威胁的原理和影响,并采取一系列的防御措施,如流量清洗、负载均衡、增加带宽、日志分析和监测以及协同防御等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析分布式拒绝服务攻击原理及防范摘要:在网络安全中,分布式拒绝服务攻击已经成为最大的威胁之一,由于破坏性大,而且难于防御成为黑客经常采用的攻击手段。
本文简要分析了分布式拒绝服务攻击的原理和基本实施方法,并介绍了发生此类攻击时的防范和应对措施。
关键词:拒绝服务;分布式拒绝服务;网络安全;防火墙;数据包1DDoS概念DoS是Denial of Service的简称,中文译为拒绝服务,也就是有计划的破坏一台计算机或者网络,使主机或计算机网络无法提供正常的服务。
DoS攻击发生在访问一台计算机时,或者网络资源被有意的封锁或者降级时。
这类攻击不需要直接或者永久的破坏数据,但是它们故意破坏资源的可用性。
最普通的DoS攻击的目标是计算机网络带宽或者是网络的连通性。
带宽攻击是用很大的流量来淹没可用的网络资源,从而合法用户的请求得不到响应,导致可用性下降。
网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源,导致计算机不能够再处理正常的用户请求。
分布式拒绝服务(DDoS:Distributed Denial of Service)攻击,是在传统的拒绝服务攻击的基础上发展起来的网络攻击手段,具有危害巨大,难以预防等特点,是目前比较典型的一种黑客攻击手段。
这种攻击主要借助于客户/服务器(C/S)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS 攻击,从而成倍地提高拒绝服务攻击的威力。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
通常,攻击者通过入侵主机将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理主机通讯,代理程序已经被安装在Internet 上的许多计算机上。
代理程序收到指令时就发动攻击。
利用客户/服务器技术,主控程序能在几秒钟内激活成百上千个代理程序。
2受到攻击时的现象当一台主机被DDoS攻击时,通常会显示如下现象:2.1查看CPU使用率和内存利用率的变化在主机上可以通过查看CPU使用率和内存利用率,来简单有效的了解服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。
当然这也可能是正常访问网站人数增加的原因。
2.2被攻击的主机上有大量等待的TCP连接当对一个Web站点执行DDoS 攻击时,大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,而是指向你机器任意的端口。
这个站点的一个或多个Web服务会接到非常多的请求,最终使它无法再正常使用。
在一个DDoS攻击期间,如果有一个不知情的用户发出了正常的页面请求,这个请求会完全失败,或者是页面下载速度变得极其缓慢,从而造成站点实际上无法使用。
2.3网络中充斥着大量的无用的数据包,源地址为假黑客的目的就在于用大量的无效数据包来“淹没”正常的数据包,并且为了逃避追踪而采用伪造的源地址。
这时网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。
2.4制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯由于大量的无效数据耗尽了有限的资源,所以使得被攻击的主机无法和外界正常通讯。
2.5利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求。
3DDoS攻击原理图1 分布式拒绝服务攻击体系结构如图1所示,一个完整的DDoS攻击体系可分为四大部分:攻击者、主控端、代理端,和受害者。
其中最重要的是前三个部分,分别扮演着不同的角色。
攻击者:攻击者所用的计算机是攻击主控台,由黑客直接操纵,它可以是网络上的任何一台主机,也可以是一台便携机。
它向各个主控端发送攻击命令,从而操纵整个攻击过程。
主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制有大量的代理主机。
主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
这些主控瑞只发布命令而不参与实际的攻击,目的在于迷惑攻击对象,从而掩护真正的攻击者。
代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。
代理端主机是攻击的执行者,直接向目标主机发起攻击。
典型情况是各个代理端同时向攻击对象发送大量的无效数据包,使目标无法处理而陷于瘫痪。
从而达到攻击目的。
对于控制端和代理端的计算机,黑客通过入侵而取得控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现,比如更改日志等等。
在平时,这些“傀儡”机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,就变成工具发起攻击了。
攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。
第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。
最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。
由于攻击者并不直接向目标发送数据,所以在攻击时不会受到监控系统的跟踪,身份不容易被发现。
SYN-Flood是目前最普遍也是最有效的DDoS攻击手段。
SYN是指TCP(传输控制协议)数据包中用于表示建立连接的一个数据位。
SYN-Flood是利用了面向连接的TCP协议三次握手机制本身的一个缺陷。
假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN 时延,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源,有时是数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。
实际上如果服务器的TCP/IP 堆栈不够强大,最后的结果往往是堆栈溢出崩溃。
即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。
TCP全连接攻击也是常见的DDoS攻击手段。
这种攻击是为了绕过常规防火墙的检查而设计的,通常情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,由于很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP 连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问。
TCP全连接攻击就是通过许多傀儡主机不断地与受害机建立大量的TCP连接,直到受害机的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多傀儡主机,并且由于傀儡主机的IP是暴露的,因此容易被追踪。
4如何防范DDoS攻击DoS攻击使用相对简单的攻击方法,就可以使目标系统完全瘫痪,甚至破坏整个网络。
因此信息安全专家们认为,对付DDoS是一个系统工程,仅仅依靠某种系统或产品来防住DDoS是不现实的,可以肯定的是,完全杜绝DDoS目前是不可能的,只有从网络的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在网络传输层面上进行必要的安全设置,并安装专门的DoS识别和预防工具,才能最大限度地减少DoS攻击所造成的损失。
以下是一些具体的防范措施。
4.1尽可能的修正已经发现的问题和系统漏洞,及时安装系统补丁程序。
对一些重要的信息(例如系统配置信息)建立和完善备份机制。
对一些特权帐号(例如管理员帐号)的密码设置要谨慎。
通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
4.2关闭不必要的服务,确保从服务器相应的目录或文件数据库中删除未使用的服务,如FTP或NFS。
这些服务往往成为黑客利用的对象。
4.3利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好它们的安全规则,过滤掉所有的可能的伪造数据包。
4.4利用负载均衡技术:就是把应用业务分布到几台不同的服务器上,甚至不同的地点。
采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。
这种方法要求投资比较大,相应的维护费用也高。
4.5禁止内部网通过Modem连接至PSTN系统。
这样的话,黑客就能通过电话线发现未受保护的主机,即刻就能访问机密的数据。
4.6当你发现自己正在遭受DDoS攻击时,你应当启动您的应付策略,尽可能快的追踪攻击包,并且要及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。
4.7限制在防火墙外与网络文件共享。
这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
4.8缩短SYN Timeout时间:由于SYN-Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度×SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,可以成倍的降低服务器的负荷。
4.9在防火墙上运行端口映射程序或端口扫描程序。
大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
4.10检查所有网络设备和主机/服务器系统的日志。
只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
5结束语到目前为止,防御DDoS攻击还是比较困难的。
因为,这种攻击利用了TCP/IP协议本身机制上的缺陷,这种缺陷是结构性的和无法改变的,除非不用TCP/IP 协议,才有可能完全抵御住DDoS攻击。
不过这也并不是说就毫无办法,只要我们对DDoS攻击的原理与方法有足够的了解,就可以作好相应的防备,采取各种合理措施,还是可以将风险或损失降低到最小程度。
参考文献:[1]李磊,赵永祥,陈常嘉.TCP SYN Flooding原理及其应对策略.网络与应用, 2003.[2]吴汉平等译.Edward Waltz.信息战原理与实战.北京.电子工业出版社,2004.[3]熊桂喜等译.Andrew S.Tanenbaum.计算机网络(第三版).北京:清华大学出版社,1998.。