admin管理员组

文章数量:1532155

2024年1月7日发(作者:)

DDOS攻击原理与防范措施

JW114043 丁晓娟

债要: DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。

关键词:DDOS(分布式拒绝服务攻击)、攻击运行原理、傀儡机、防范措施

1.引言

随着网络技术和网络应用的发展,网络安全问题显得越来越重要。拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。因此,研究拒绝服务攻击及其对策是极为重要的。

2. 分布式拒绝服务攻击(DDOS)

2.1 DDOS攻击现象

(1)被攻击主机上有大量等待的TCP连接

(2)网络中充斥着大量的无用的数据包,源地址为假

(3)制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯

(4)利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求

(5)严重时会造成系统死机

2.2 DDOS攻击原理

图1.1 DDOS攻击体系

如图1.1,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。

一般情况下黑客不直接去控制攻击傀儡机,而要从控制傀儡机上中转一下,这就导致DDoS攻击难以追查。攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。

2.3 DDOS攻击步骤

1. 搜集了解目标的情况(下列情况是黑客非常关心的情报):

被攻击目标主机数目、地址情况

目标主机的配置、性能

目标的带宽

2. 占领傀儡机(黑客最感兴趣的是有下列情况的主机):

链路状态好的主机、性能好的主机、安全管理水平差的主机

3. 实际攻击

经过前2个阶段的精心准备之后,黑客就开始准备对既定目标进行攻击了。前面的准备做得好的话,实际攻击过程是比较简单的。如图示,黑客登录到做为控制台的傀儡机,向所有的攻击机发出攻击命令。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击,以期造成严重的后果。

2.4 DDOS防范措施

1. 主机上的设置

几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:

(1)关闭不必要的服务

(2)限制同时打开的Syn半连接数目

(3)缩短Syn半连接的time out 时间

(4)及时更新系统补丁

2.网络设备上的设置

企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对特定的对象来说是否值得。

(1)防火墙

禁止对主机的非开放服务的访问

限制同时打开的SYN最大连接数

限制特定IP地址的访问

启用防火墙的防DDoS的属性

严格限制对外开放的服务器的向外访问

第五项主要是防止自己的服务器被当做工具去害人。

(2).路由器

以Cisco路由器为例

Cisco Express Forwarding(CEF)

使用 unicast reverse-path

访问控制列表(ACL)过滤

设置SYN数据包流量速率

升级版本过低的ISO

为路由器建立log server

本文标签: 攻击傀儡目标

版权声明:本文标题:DOS攻击原理与防范措施 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1704565454a97435.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。