分布式拒绝服务攻击,简称“ddos攻击”,又称洪水攻击,是一种网络攻击手法,目的在于使被攻击电脑的网络或系统资源耗尽,是服务暂时中断或停止,导致正常用户无法访问。CC攻击又是ddos攻击中的一种,资源消耗型攻击
原理解析
再分布式拒绝服务攻击之前,有一种攻击被称之为“拒绝服务攻击”称之为 “dos攻击” ,ddos攻击由它演变而来,分布式,它是一种分布的的,协同的大规模攻击方式,利用操作系统和网络协议的缺陷,欺骗和伪装的策略来进行攻击,使网站充斥大量需要服务器回应的信息,消耗网络带宽或系统资源,导致网络或系统资源耗尽以至于瘫痪停止服务。与dos攻击相比,ddos攻击是借助数百,甚至于数千台被入侵后安装的攻击进程的主机同时发起的攻击行为。
DDOS攻击方式
DDoS攻击可以具体分成两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求大量占用网络以及器材资源,以达到瘫痪网络以及系统的目的。
带宽消耗型攻击
大致分为两种不同的层次:洪泛攻击和放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其宽带。放大攻击与其类似,是通过恶意放大流量限制受害者系统的宽带;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的宽带就能使服务器发送大量的应答到目标主机上。
UDP洪水攻击
UDP 是一种无连接协议,当数据包通过UDP发送时,所有的数据包在发送和接收时不需要进行握手验证。当大量UDP数据包发送给目标系统时,可能会导致带宽饱和从而使得合法服务无法请求访问受害系统。遭受DDoS UDP洪泛攻击时,UDP数据包的目的端口可能是随机或指定的端口,受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程序在目标端口运行,受害系统将对源IP发出ICMP数据包,表明“目标端口不可达”。某些情况下,攻击者会伪造源IP地址以隐藏自己,这样从受害系统返回的数据包不会直接回到僵尸主机,而是被发送到被伪造地址的主机。有时UDP洪泛攻击也可能影响受害系统周围的网络连接,这可能导致受害系统附近的正常系统遇到问题。这取决于网络体系结构和线速。
ICMP洪水攻击
ICMP(互联网控制消息协议)洪水攻击是通过向未良好设置的路由器发送广播信息占用系统资源的做法。
超量Ping
超量Ping是产生超过IP协议能容忍的数据包数,若系统没有检查机制,就会宕机。
泪滴攻击
每个资料要发送前,该数据包都会经过切割,每个小切割都会记录位移的信息,以便重组,但此攻击模式就是捏造位移信息,造成重组时发生问题,造成错误。
资源消耗攻击
协议分析攻击(SYN flood,SYN洪水)
传送控制协议(TCP)同步(SYN)攻击。TCP进程通常包括发送者和接受者之间在数据包发送之前创建的完全信号交换。启动系统发送一个SYN请求,接收系统返回一个带有自己SYN请求的ACK(确认)作为交换。发送系统接着传回自己的ACK来授权两个系统间的通讯。若接收系统发送了SYN数据包,但没接收到ACK,接受者经过一段时间后会再次发送新的SYN数据包。接受系统中的处理器和内存资源将存储该TCP SYN的请求直至超时。DDoS TCP SYN攻击也被称为“资源耗尽攻击”,它利用TCP功能将僵尸程序伪装的TCP SYN请求发送给受害服务器,从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用发送系统和接收系统间的三向信号交换来发送大量欺骗性的原IP地址TCP SYN数据包给受害系统。最后,大量TCP SYN攻击请求反复发送,导致受害系统内存和处理器资源用尽,最终宕机崩溃
LAND攻击
这种攻击方式与SYN floods类似,不过在LAND攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源宕机崩溃。
僵尸网络攻击
僵尸网络是指大量被命令与控制(C&C)服务器所控制的互联网主机群。攻击者传播恶意软件并组成自己的僵尸网络。僵尸网络难于检测的原因是,僵尸主机只有在执行特定指令时才会与服务器进行通讯,使得它们隐蔽且不易察觉。僵尸网络根据网络通讯协议的不同分为IRC、HTTP或P2P类等。
应用程序级洪水攻击
应用程序级洪水攻击主要是针对应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的网络服务程序提出无节制的资源申请来破坏正常的网络服务。
CC攻击
CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求(通常为HTTP GET),导致服务器负载过高直到宕机崩溃。攻击者创造性地使用代理,利用广泛可用的免费代理服务器发动DDoS攻击。许多免费代理服务器支持匿名,这使追踪变得非常困难。
2004年,一位匿名为KiKi的中国黑客开发了一种用于发送HTTP请求的DDoS攻击工具以攻击名为“Collapsar”的NSFOCUS防火墙,因此该黑客工具被称为“Challenge Collapsar”(挑战黑洞,简称CC),这类攻击被称作“CC攻击”。
防范和防御
一般遇到攻击如果是勒索小逸不推荐你妥协,因为这你就中了不法分子们的下怀了,我们应当对症下药,部署防御,一般可以选择流量清洗,高防cdn,也可以托管服务器在高防御地区比如国内的枣庄,可以选择cf的cdn套上之后号称打不死,更多的防御方案等你发现,目前只有洪水攻击是最难防范的,因为那就只是单纯的拼实力和财力了,别的攻击手段都有其针对的防御方式,所以一般你也不用太过于担心这方面的问题。
如果真的遇到大牛你就报警就行了,运营商比你更急,规模宏大的ddos很可能会导致整个网段甚至于整条线路直接瘫痪。
警钟长鸣
DOS攻击行为触犯《中华人民共和国刑法》第二百八十五条、二百八十六条、《中华人民共和国刑法修正案(七)》的相关法律规定,具体如下:
● 第二百八十五条:
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
● 《中华人民共和国刑法修正案(七)》:在刑法第二百八十五条中增加两款作为第二款、第三款:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
● 第二百八十六条:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
文章来源于互联网:ddos是什么、cc攻击是什么?原理解析