DDos攻击的本质及攻击方式
DDos攻击的本质
一. 利用木桶原理,寻找并利用系统应用的瓶颈
二. 阻塞和耗尽
三. 当前的问题:用户的带宽小于攻击的规模,造成访问带宽成为木桶的短板
DDos基本常识
不要以为可以防住真正的DDos
好比减肥药,一直在治疗,从未见疗效
真正海量的DDos可以直接阻塞互联网
DDos攻击只针对有意义的目标
如果没被DDos过,说明确实没啥值得攻击的
DDos是攻击者的资源,这个资源不是拿来乱用的
如果攻击没有效果,持续的时间不会很长
无效的攻击持续的时间越久,被追踪反查的概率越大
被消灭掉一个C&C服务器,相当于被打掉了一个Botnet
低调行事,被攻击者盯上的概率小
闷声发大财,显得挣钱不容易
很少看见知名的MSSP去宣扬我帮谁谁挡住多大的DDos
能防住的攻击通常简单,不简单的未必防得住
成功的DDos伴随着攻击者对攻击目标的深入调研
利用漏洞,应用脆弱点,一击乾坤
供给是动态的过程,攻防双方都需要不断调整
防住了攻击千万不能掉以轻心,可能攻方正在调整攻击手段
小股多段脉冲攻击试探,海量流量一举攻瘫
DDos防御基本常识
安全服务总是在攻击防不住的时候才被想起来
DDos是典型的事件触发型市场
应急,演练,预案在遭受攻击之前,很少受重视
DDos防护也是讲天时,地利,人和的
攻击者会选择最合适的时间,比如某个业务盛大上线那一刻
对于安全事件,需要有安全组织,安全人员,安全制度
攻击成本的降低,导致了攻击水平的降低
免费供给工具的普及降低了门槛,也使得很多攻击非常业余
什么是DDos
攻击方式:
传统的DDOS攻击是通过黑客在全球范围互联网用户中建立的僵尸网络发出的,数百万计受感染机器在用户不知情中参与攻击。
攻击目标:
路由器,交换机,防火墙,Web服务器,应用服务器,DNS服务器,邮件服务器,甚至数据中心。
后果:
直接导致攻击目标CPU高,内存满,应用忙,系统瘫,带宽拥堵,转发困难,并发耗尽等等,结果是网络应用甚至基础设施不可用。
DDos攻击分类(流量特性)
1.流量D
2.流速D
以力取胜,拥塞链路,典型代表为ICMP Flood和UDP Flood
3.慢速D
4.漏洞D
以巧取胜,攻击于无形,每隔几十秒发一个包甚至只要发一个包,就可以让业务服务器不再响应。此类攻击主要是利用协议或应用软件的漏洞发起,例如匿名组织的Slowloris攻击。
5.并发D
6.请求D
混合类型,既利用了系统和协议的缺陷,又具备了高速的并发和海量的流量,例如SYN Flood攻击、HTTP Flood、DNS Query Flood攻击,是当前最主流的攻击方式。
DDos攻击分类(攻击方式)
连接耗尽型
连接耗尽型
包括SYN Flood,连接数攻击等。
连接耗尽型—Connection Flood 攻击表象:
1.利用真实IP地址(代理服务器、广告页面)在服务器上建立大量连接。
2.服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应。
3.蠕虫传播过程中会出现大量源IP地址相同的包,对于TCP蠕虫则表现为大范围扫描行为。
4.消耗骨干设备的资源,如防火墙的连接数。
带宽耗尽型
带宽耗尽型
包括Ack Flood,UDP Flood,ICMP Flood,分片攻击等。
带宽耗尽型—ICMP Flood攻击表象:
1.针对同一目标lP的ICMP包在一侧大量出现
2.内容和大小都比较固定
带宽耗尽型—反射攻击 原理
1.采用受害者的IP作为源IP,向正常网络发送大量报文,利用这些正常主机的回应报文达到攻击受害者的目的。Smurf, DNS反射攻击等。
2.攻击者既需要掌握Botnet,也需要准备大量的存活跳板机,比如开放DNS服务器。
3.反射攻击会有流量放大的效应,制造出的大流量攻击非常难以防御。
应用层攻击
应用层攻击
包括HTTP Get Flood,CC,HTTP Post慢速攻击,DNS Flood,以及针对各种游戏和数据库的攻击方式。
应用资源攻击—HTTP Flood/CC攻击 攻击表象:
1.利用代理服务器向受害者发起大量HTTP Get请求。
2.主要请求动态页面,涉及到数据库访问操作。
3.数据库负载以及数据库连接池负载极高,无法响应正常请求。
