理论教育 分布式拒绝服务攻击原理:计算机网络技术与应用研究成果

分布式拒绝服务攻击原理:计算机网络技术与应用研究成果

时间:2023-10-28 理论教育 版权反馈
【摘要】:分布式拒绝服务攻击是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式,主要攻击比较大的站点,如商业公司、搜索引擎和政府部门的站点。早期的拒绝服务攻击主要是针对处理能力比较弱的单机,如PC,或是窄带宽连接的网站,对拥有高带宽连接、高性能设备的网站影响不大,但在1999年底,出现了DDoS攻击。这种攻击方法结合使用了IP欺骗和ICMPecho方法,使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。

分布式拒绝服务攻击原理:计算机网络技术与应用研究成果

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是一种基于DoS的特殊形式的攻击,是一种分布、协作的大规模攻击方式,主要攻击比较大的站点,如商业公司、搜索引擎和政府部门的站点。

早期的拒绝服务攻击主要是针对处理能力比较弱的单机,如PC,或是窄带宽连接的网站,对拥有高带宽连接、高性能设备的网站影响不大,但在1999年底,出现了DDoS攻击。

与早期的DoS攻击相比,DDoS借助数百台、甚至数千台被植入攻击守护进程的攻击主机同时发起进攻,如图2-103所示。这种攻击对网络服务提供商的破坏力是巨大的。下面介绍DDoS攻击的Smurf方法。

图案2-103 DDoS攻击

Smurf是一种简单但有效的DDoS攻击技术,是以最初发动这种攻击的程序名Smurf来命名的。这种攻击方法结合使用了IP欺骗和ICMPecho方法,使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务。(www.daowen.com)

当某台机器使用广播地址发送一个ICMPecho请求包时(如Ping),一些系统会回应一个,ICMPecho响应包,也就是说,发送一个包会收到许多响应包。Smurf攻击就是使用这个原理来进行的,当然,还需要一个假冒的源地址。也就是说,在网络中发送源地址为要攻击主机的地址,目的地址为广播地址的包,会使许多系统响应发送大量的信息给被攻击主机(因为其地址被攻击者假冒了)。使用网络发送一个包而引出大量响应的方式也被叫作“放大器”。

Smurf为了能工作,必须要找到攻击平台。这个平台就是路由器上启动了IP广播功能。这个功能允许Smurf发送一个伪造的Ping信息包,然后将其传播到整个计算机网络中。为了保护内网,可以使用路由器的访问控制列表,保证内部网络中发出的所有信息都具有合法的源地址,并且要将所有路由器上IP的广播功能都禁止,以防止这种攻击。另一个最简单的方法就是对边界路由器的回音应答(Echo Reply)信息包进行过滤。

UDP Flood和TCP Flood仍旧是网站的最大威胁。从另一方面来说,随着越来越多的网站追求数据的安全性,而采用HTTPS协议进行流量传输,网站遭受到HTTPS/CC攻击的事件数量随之上升。因为对HTTPS协议的处理相对HTTP会占用消耗的资源,所以无论是网站运营者还是安全服务商在面对HTTPS/CC资源消耗型攻击时,防护能力与效果会面临巨大挑战。

近期,DDoS攻击事件仍然很多,其中阿里云云盾防御的最大攻击峰值流量为477Gbit/s,他们预测2016年整个互联网可能会发生流量在800Gbit/s-1TGbit/s之间的攻击事件。以商业竞争或敲诈勒索为背景的DDoS攻击威胁形势仍将严峻。游戏仍旧是DDoS事件高发行业。来自移动终端APP的应用层的DDoS攻击将迅速崛起。

DDoS攻击利用了TCP/IP本身的弱点,攻击技术不断翻新及其所针对的协议层的缺陷短时间无法改变,因此成了流传最广、最难防范的攻击方式之一。改进某些的系统和网络协议是提高网络安全的根本途径。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈