介紹

????????DDoS 和 DoS 攻擊是我們最常見(jiàn)的網(wǎng)絡(luò)攻擊之一，而且歷史相當(dāng)悠久，算是很經(jīng)典的兩種攻擊方式，但它們實(shí)際上是如何運(yùn)作的呢？ 雖然兩者基本上都能夠讓工作停擺，但其中有很大的差異，接下來(lái)我們將逐一說(shuō)明，看看兩者之間有何不同，以及如何保護(hù)自己免受DoS與DDoS的傷害。

DoS攻擊（拒絕服務(wù)攻擊）

????????DoS （阻斷服務(wù)攻擊）是 Denial – of – Service Attack 的縮寫(xiě)，由攻擊方大量產(chǎn)生封包或請(qǐng)求，使目標(biāo)系統(tǒng)資源耗盡，最終讓服務(wù)中斷或停止，導(dǎo)致其他正常用戶無(wú)法存取。 這通常會(huì)用來(lái)攻擊網(wǎng)站，最終導(dǎo)致網(wǎng)頁(yè)無(wú)法回應(yīng)并且關(guān)閉，原本可以提供的任何服務(wù)都會(huì)被阻斷，因而得名。

????????與 DDoS 攻擊不同，DoS 攻擊的來(lái)源單一，具體來(lái)說(shuō)就是由一臺(tái)與網(wǎng)絡(luò)連接的電腦發(fā)送大量請(qǐng)求，目的是使目標(biāo)系統(tǒng)崩潰。 由于 DoS 攻擊往往規(guī)模較小，因此它們通常針對(duì)小型的網(wǎng)站和個(gè)人，因?yàn)樗麄兊馁Y源比 Amazon 或 Google 等大型企業(yè)網(wǎng)站更有限。 好消息是，由于它的來(lái)源單一，只要識(shí)別出 DoS 來(lái)源，即可阻止它的攻擊（通常通過(guò) IP 阻擋），比起 DDoS 攻擊容易處理。

DDoS攻擊（分布式拒絕服務(wù)攻擊）

????????DDoS （分布式阻斷服務(wù)攻擊）全名是Distributed Denial – of – Service Attack，雖然與DoS攻擊的目的相同，但它利用連網(wǎng)的計(jì)算機(jī)網(wǎng)絡(luò)從多點(diǎn)進(jìn)行來(lái)針對(duì)目標(biāo)服務(wù)器，其流量比典型的DoS攻擊能做的事情要多得更多。 DDoS 攻擊通常通過(guò)僵尸網(wǎng)絡(luò)執(zhí)行，通過(guò)惡意軟件或病毒感染使別人的電腦主機(jī)為攻擊者所用。 隨著時(shí)間推移，攻擊者會(huì)攻擊多臺(tái)電腦，建立一個(gè)僵尸網(wǎng)絡(luò)，然后在有足夠的運(yùn)算能力后從該網(wǎng)絡(luò)發(fā)起 DDoS 攻擊。

攻擊實(shí)現(xiàn)方式

?dos攻擊最簡(jiǎn)單的就是通過(guò)ping命令，利用ICMP缺陷，ICMP數(shù)據(jù)包的尺寸超過(guò)64KB上限，導(dǎo)致TCP/IP堆棧崩潰，致使主機(jī)死機(jī)

SYN?Flood(是DOS和DDOS攻擊方式之一)

攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的 。

（1）攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN（Synchronize）即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手 ?。

（2）受害服務(wù)器在收到攻擊者的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示攻擊者的請(qǐng)求被接受，同時(shí)，TCP序號(hào)被加一，ACK（Acknowledgment）即確認(rèn)，這樣就同被攻擊服務(wù)器建立了第二次握手 ?。

（3）攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成，三次握手完成 ?。

具體原理是：TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的（第三次握手無(wú)法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況（偽造IP地址），那么服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上，如果服務(wù)器的TC P/IP棧不夠強(qiáng)大，那么最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之?。?，此時(shí)，從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況就稱做：服務(wù)器端受到了SYN Flood攻擊（SYN洪水攻擊）。
?

UDP洪水攻擊

攻擊者利用簡(jiǎn)單的TCP/IP服務(wù)，如Chargen和Echo來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間存在很多的無(wú)用數(shù)據(jù)流，這些無(wú)用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊?。

Ping洪流攻擊

由于在早期的階段，路由器對(duì)包的最大尺寸都有限制。許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)?
?

teardrop攻擊

淚滴攻擊是利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重疊偏移的偽造分段時(shí)將崩潰?? 。

Land攻擊

Land攻擊原理是：用一個(gè)特別打造的SYN包，它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接。被攻擊的服務(wù)器每接收一個(gè)這樣的連接都將保留，直到超時(shí)，對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩潰，NT變的極其緩慢（大約持續(xù)5分鐘） ?。

攻擊防范

????????第一，使用防火墻和入侵檢測(cè)系統(tǒng)。防火墻是網(wǎng)絡(luò)安全的第一道防線，它可以幫助過(guò)濾掉大量的惡意請(qǐng)求，并限制對(duì)系統(tǒng)的訪問(wèn)。入侵檢測(cè)系統(tǒng)可以實(shí)時(shí)監(jiān)控流量和異?；顒?dòng)，并及時(shí)發(fā)出警報(bào)，幫助管理員及時(shí)采取應(yīng)對(duì)措施。

????????第二，合理配置網(wǎng)絡(luò)設(shè)備。確保網(wǎng)絡(luò)設(shè)備的配置和升級(jí)是及時(shí)和完整的，特別是路由器和交換機(jī)等核心設(shè)備。同時(shí)，禁止或限制未授權(quán)的網(wǎng)絡(luò)流量和訪問(wèn)請(qǐng)求，只允許經(jīng)過(guò)認(rèn)證和授權(quán)的用戶訪問(wèn)系統(tǒng)。

????????第三，使用反向代理和負(fù)載均衡技術(shù)。反向代理可以隱藏真實(shí)服務(wù)器的地址，將用戶請(qǐng)求分發(fā)到多個(gè)服務(wù)器上，有效分散了流量和請(qǐng)求壓力，提高了系統(tǒng)的穩(wěn)定性和安全性

????????第四，使用流量清洗和封堵技術(shù)。流量清洗技術(shù)可以從網(wǎng)絡(luò)流量中過(guò)濾掉惡意請(qǐng)求，并將合法流量轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器上。封堵技術(shù)可以識(shí)別和封鎖來(lái)源于攻擊者的流量，防止攻擊繼續(xù)進(jìn)行。

????????第五，加強(qiáng)系統(tǒng)監(jiān)控和日志記錄。及時(shí)發(fā)現(xiàn)并記錄系統(tǒng)異常和攻擊跡象，有助于及時(shí)采取補(bǔ)救措施和調(diào)整防護(hù)策略。對(duì)網(wǎng)絡(luò)流量、用戶行為和系統(tǒng)資源的監(jiān)視和分析，有助于提前預(yù)警和防范潛在的攻擊。

????????最后，定期進(jìn)行安全審計(jì)和漏洞掃描。定期檢查和評(píng)估系統(tǒng)的安全性，發(fā)現(xiàn)和修復(fù)系統(tǒng)中的漏洞和弱點(diǎn)。漏洞掃描可以幫助管理員找出系統(tǒng)中的安全隱患，并及時(shí)進(jìn)行修復(fù)和加固，提高系統(tǒng)的抵御能力。

????????綜上所述，防護(hù)Dos和DDos攻擊需要綜合運(yùn)用多種防護(hù)策略和技術(shù)，包括使用防火墻和入侵檢測(cè)系統(tǒng)、合理配置網(wǎng)絡(luò)設(shè)備、使用反向代理和負(fù)載均衡技術(shù)、流量清洗和封堵技術(shù)、加強(qiáng)系統(tǒng)監(jiān)控和日志記錄，以及定期進(jìn)行安全審計(jì)和漏洞掃描等。只有綜合起來(lái)，才能有效地提高系統(tǒng)的安全性和穩(wěn)定性，保護(hù)個(gè)人和企業(yè)的數(shù)據(jù)和信息，確保互聯(lián)網(wǎng)的正常運(yùn)行。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-728587.html

到了這里，關(guān)于DoS和DDos攻攻擊的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！