I.はじめに
DDOS の正式名称は Distribution Denial of Service (分散型サービス拒否攻撃) です. 多くの DOS 攻撃元が特定のサーバーをまとめて攻撃し、DDOS 攻撃を形成します. 中国では、DDOS は 1996 年にさかのぼることができ、開発は 2002 年に頻繁に現れました. 形になり始めた. 当時、ネットワーク帯域は一般的に比較的小さく、攻撃量は一般的に100Mを超えませんでした. 中国には保護方法や製品がほとんどありませんでした. さらに、攻撃の送信元IPは巧妙に構成されたハードウェア Webサイトは、毎秒数メガバイトの攻撃量で完全に麻痺する可能性があり、破壊力は非常に優れています. 保護製品の開発が必要であるため、ネットワークの根底にある制御を引き継ぐため、TCP/IP プロトコルの分析と処理には高い技術的しきい値が必要であり、当時の中国には多くのセキュリティの基礎があり、DDOS 攻撃から保護するように設計された専門的な製品はありません。
DDOS 攻撃は、ハッカーによる長年にわたる継続的な技術蓄積を経て、現在、攻撃の状況はさまざまに変化しています.以前とは攻撃の内容が大きく変化しています.新しい亜種の攻撃はほぼ毎月発生しています.長年の防御の後経験、セーフパスは完全に攻撃原理を分析し、攻撃事例を通じて実際の攻撃を分析し、読者が自分のネットワークに効果的な解決策を見つけられるようにします
2. DDoS攻撃の原理
最初に最も一般的な SYN 攻撃について調べてみましょう. SYN 攻撃は一種の DOS Denial of Service 攻撃です. TCP プロトコルの欠陥を利用して大量の準接続リクエストを送信し、CPU とメモリ リソースを消費します. TCP プロトコルが接続を確立するとき、両者は、接続が偽造されるのを防ぎ、データ伝送プロセス全体の完全性と有効性を正確に制御するために、お互いに情報を確認する必要があります。そのため、TCP プロトコルは 3 ウェイ ハンドシェイクを使用して接続を確立します。
最初のハンドシェイク: 接続が確立されると、クライアントはサーバーに syn パケットを送信し、SYN_SEND 状態に入り、サーバーが確認するのを待ちます。
2 番目のハンドシェイク: サーバーは syn パケットを受信し、クライアントの SYN を確認し、同時に SYN パケット、つまり SYN+ACK パケットを送信し、サーバーは SYN_RECV 状態に入ります。
3 回目のハンドシェイク: クライアントはサーバーから SYN+ACK パケットを受信し、確認パケット ACK をサーバーに送信します. パケットが送信された後、クライアントとサーバーは ESTABLISHED 状態に入り、スリーウェイ ハンドシェイクを完了します.
SYN 攻撃は、TCP プロトコルのスリーウェイ ハンドシェイクの原理を利用して、送信元 IP が偽造された多数の SYN パケットを送信します。接続情報用にコア メモリを割り当て、それを半接続キューに入れます。短時間にあまりにも多くの SYN を受信すると、半接続キューがオーバーフローし、オペレーティング システムは接続情報を破棄して接続情報を作成します。接続できません. 攻撃している SYN パケットがセミコネクション キューの最大値を超えると, 通常のクライアントが送信します. SYN パケット要求の接続はサーバーによって破棄されます. 各オペレーティング システムのセミコネクション キューのサイズは異なります. SYN攻撃に対する耐性も異なります。では、セミコネクション キューを十分に増やして、オーバーフローしないようにすることはできますか? 答えはノーです. すべてのオペレーティング システムには、TCP モジュールのセミコネクション キューの最大数を調整する方法があります. たとえば、Win2000 オペレーティング システムでは、 Linux オペレーティング システムは、変数 tcp_max_syn_backlog を使用して準接続キューの最大数を定義します。しかし、半接続リソースを確立するたびに、システムのコアメモリが消費されます. オペレーティングシステムのコアメモリは、システムカーネルの使用のために特別に提供されています. コアメモリは仮想メモリに変換できないため、. Windows2000 システムを例にとると、物理メモリが 4g の場合、コア メモリは 300M 未満であり、システムのすべてのコア モジュールはコア メモリを使用する必要があるため、使用できるコア メモリは準接続キューは非常に小さいです。
セーフティパスラボテストによると:
テスト環境: Windows 2003 オペレーティング システムがデフォルトでインストールされます
ハードウェア構成: P4 3.0 (925)、1GDDR2 メモリ、160GBSATA ハードディスク
攻撃強度: WEB SERVER のポート 80 が 1 秒あたり 5000 SYN パケットを受信
テスト結果: 1 分後に Web サイトが麻痺し、Web ページを開くことができませんでした。
標準の SYN データ パケットは 64 バイトであり、5000 の攻撃パケットは 5000*64 *8 (ビットに変換)/1024=2500K に等しく、これは 2.5M の帯域幅です. 上記の実験状況から、非常に小さいことがわかります。この種の被害は、十分な帯域幅を備えた適切に構成された Web サーバーを麻痺させるのに十分であり、攻撃パケットの送信元 IP が偽造されているため、攻撃の送信元を追跡することは困難であり、攻撃者は悪意を持っています。 . 最終的な結果は、この SYN 攻撃です インターネットのフラッディングは、通常のネットワーク運用に大きな脅威をもたらします。
3. DDoS攻撃の進展とその動向
近年、ブロードバンドの普及により、多くのWebサイトが利益を上げ始め、多くの違法Webサイトが巨額の利益を上げ、ピアが相互に攻撃するようになっています.同時に、Windowsプラットフォームの脆弱性が多数発生しています.不正なソフトウェア、ウイルス、トロイの木馬がインターネットにあふれています. ある程度のネットワーク知識. 人々は簡単に大量のパソコンに不正に侵入して制御し、DDoS 攻撃を開始して利益を得ることができます.利益, DDoS 攻撃は非常に完全な産業チェーンに進化しました, そして、DDoS 攻撃の販売は、半公的な商業行為です. 攻撃者は最初に、トラフィックの多い Web サイトの Web ページにウイルスのトロイの木馬を挿入します. このトロイの木馬Windows プラットフォームの脆弱性を介して Web サイトの訪問者に感染する可能性があります. 訪問者がトロイの木馬に攻撃されると、コンピューターはブロックされます. オペレーターが制御すると、このコンピューターはいわゆる「ブロイラーチキン」になります. 毎日, 誰かが「ブロイラー鶏」を販売し、数セントから数元の価格で販売する。購入者はこれらの鶏を遠隔操作してサーバーを攻撃する。関連部門の不完全な推測によると、この地下チェーンによってもたらされる違法な収入は数十億元に達し、一部の人々は DDoS ネットワーク攻撃を使用して金銭を強要し、北京海淀警察によると、彼らはすべてを破壊しました。 DDoS 攻撃による強要 悪質なケースでは、攻撃者は上海でファイアウォールを運用している一般企業であることが判明しました。
4. DDos 攻撃の種類
DDoS 攻撃の原理は、次の 3 つのタイプに大別できます。
1.サーバーの帯域幅をブロックするために大きなデータパケットを送信することにより、サーバー回線が麻痺します。
2. 特別なデータ パケットを送信することにより、サーバーの TCP/IP プロトコル モジュールは CPU メモリ リソースを消費し、最終的に機能しなくなります。
3. 標準接続を介して接続が確立された後、特別なデータ パケットが送信され、サーバー上で実行されているネットワーク サービス ソフトウェアが CPU メモリを消費し、最終的に麻痺させられます (WEB SERVER、FTP SERVER、ゲーム サーバーなど)。 )。
DDoS 攻撃の種類は、次のカテゴリに分類できます。
ボットのトロイの木馬は、攻撃データのパッケージや攻撃方法を随時更新できるため、新しい攻撃の更新は非常に高速です. ここでは、いくつかの一般的な攻撃の原理と方法を紹介します.
1. SYNバリアント攻撃
偽の送信元 IP を含む SYN パケットを送信しますが、パケットは 64 バイトではなく数千バイトです. この攻撃により、いくつかのファイアウォール処理エラーが発生し、ロックアップが発生し、サーバーの CPU メモリが消費され、同時に帯域幅がブロックされます.
2. TCP 混同パケット攻撃
偽の送信元 IP を含む TCP パケットを送信します。TCP ヘッダーの TCP フラグの部分が紛らわしく、syn、ack、syn+ack、syn+rst などである可能性があり、一部のファイアウォール処理エラーが原因でロックアップが発生します。同時にサーバーの CPU メモリを消費します。帯域幅も詰まらせます。
3. UDP プロトコルに対する攻撃
多くのチャット ルーム, ビデオおよびオーディオ ソフトウェアは UDP データ パケットを介して送信されます. 攻撃者は、攻撃対象のネットワーク ソフトウェア プロトコルを分析し、通常のデータと同じデータ パケットを送信します. この種の攻撃を防御することは非常に困難です. 一般に, 防御壁攻撃をインターセプト データ パケットの署名コード保護ですが、これにより通常のデータ パケットもインターセプトされます。
4. WEB サーバーに対する多重接続攻撃
大量のブロイラーが同時にサイトに接続するように制御することで、Web サイトが処理できなくなり麻痺する 通常の Web サイト訪問と同じ攻撃ですが、訪問回数は数十倍、数百倍に増加します。一部のファイアウォールは、各接続の IP 接続を制限できます.ただし、これにより、通常のユーザーが Web サイトを数回開いてブロックされます.
5. WEB サーバーに対するバリアント攻撃
多数のブロイラーが同時に Web サイトに接続するように制御することにより、接続が確立されると、接続が切断されることはなく、いくつかの特別な GET アクセス要求が常に送信され、Web サイト データベースまたは一部のページが停止する原因となります。各接続からの IP 接続の数を制限することで保護できるように、多くの CPU を消費します. 各ブロイラーは 1 つまたは少数の接続のみを確立する可能性があるため、この方法は失敗します. この種の攻撃は防御が非常に難しく、ファイアウォール ソリューションについては後で紹介します。
6. WEB サーバーに対するバリアント攻撃
多数のブロイラーが Web サイトのポートに同時に接続するように制御するが、GET 要求を送信するのではなく乱雑な文字を送信することにより、ほとんどのファイアウォールは、攻撃データ パケットの最初の 3 バイトを GET 文字として分析し、次に http プロトコルを分析します。攻撃の種類は送信されません GET リクエストはファイアウォールをバイパスし、サーバーに到達できます. 一般に、サーバーは帯域幅を共有し、帯域幅は 10M を超えません. したがって、多数のボット攻撃データ パケットは、このサーバーの共有帯域幅をブロックし、サーバーを麻痺させる. この種の攻撃も非常に困難です. 保護, GET文字なしでクライアントから送信されたデータパケットを単純に傍受すると、多くの通常のデータパケットが誤ってブロックされ、通常のユーザーが.ファイアウォールの解決策は後ほど紹介します
7. ゲームサーバーへの攻撃
非常に多くのゲームサーバーがあるため、ここで最も初期で最も影響力のある伝説のゲームの紹介. 伝説のゲームは、ログインおよび登録ポート 7000、キャラクター選択ポート 7100、およびゲーム実行ポート 7200、7300、7400 などに分けられます. , ゲーム自体のプロトコル設計が非常に複雑なため. , 攻撃の種類も倍増して数十種類あります. 新しい種類の攻撃が常に発見されています. 現在最も一般的なダミー攻撃は次のとおりです.ダミー攻撃は、ブロイラーシミュレーションゲームクライアントを介して行われる 自動登録、ログイン、キャラクター作成、ゲームエントリは、データプロトコルレベルから通常のゲームプレーヤーをシミュレートするため、誰が攻撃しており、誰が通常のプレーヤーであるかを分析することは困難です。ゲームデータパケット。
➡️➡️では、問題はddos攻撃をどのように解決するかです? ? ? 下のコメント ボックスに移動してメッセージを残してください。あなたの解決策が多くの問題を解決する可能性があります~