ddos攻击原理及防护方法论

ddos攻击原理及防护方法论

ID:14456130

大小:958.00 KB

页数:21页

时间:2018-07-28

ddos攻击原理及防护方法论_第1页
ddos攻击原理及防护方法论_第2页
ddos攻击原理及防护方法论_第3页
ddos攻击原理及防护方法论_第4页
ddos攻击原理及防护方法论_第5页
资源描述:

《ddos攻击原理及防护方法论》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、DDoS攻击原理及防护方法论(1)从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS勒索,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了12G,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是:利用DDoS攻击手段敲诈勒索已经形成了一条完整的产业链!并且,攻击者实施成本极低,在网上可以随便搜索到一大堆攻击脚本、工具工具,

2、对攻击者的技术要求也越来越低。相反的是,专业抗DDoS设备的价格十分昂贵,而且对于攻击源的追查难度极大,防护成本远远大于攻击成本。本文将对DDoS攻击的原理做一个剖析,并提供一些解决方法。一.DDoS攻击什么是DDoS?DDoS是英文DistributedDenialof²Service的缩写,意即"分布式拒绝服务",DDoS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。首先,我们来了解一下相关定义。²服务:系统提供的,用户在对其使用中会受益的功能²拒绝服务:任何对服务的干涉如果使其可用性降低或者

3、失去可用性均称为拒绝服务。²拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。您所在的位置:首页>网络安全>专家专栏>DDoS攻击原理及防护方法论(2)http://netsecurity.51c

4、to.com 2009-03-1613:43 戴鹏飞 51CTO.com 我要评论(0)·摘要:本文将对DDoS攻击的原理做一个剖析,并提供一些解决方法。·标签:DDoS攻击  原理  防护·Oracle帮您准确洞察各个物流环节二.数据包结构要了解DDoS的攻击原理,就要首先了解一下数据包的结构,才能知根知底,追本溯源。首先来回顾一下数据包的结构。2.1IP报文结构图2.2TCP报文结构图²一个TCP报头的标识(codebits)字段包含6个标志位:²SYN:标志位用来建立连接,让连接双方同步序

5、列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接²FIN:表示发送端已经没有数据要求传输了,希望释放连接。²RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。²URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。²ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。PSH:如果

6、置位,接收端应尽快把数据传送给应用层,不必等缓冲区满再发送。2.3UDP报文结构图2.4ICMP报文结构图图三.DDoS攻击方式3.1SYNFlood攻击SYN-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都

7、无法有效地防御这种攻击,而且由于它可以方便地伪造源地址,追查起来非常困难。它的数据包特征通常是,源发送了大量的SYN包,并且缺少三次握手的最后一步握手ACK回复。3.1.1原理例如,攻击者首先伪造地址对服务器发起SYN请求(我可以建立连接吗?),服务器就会回应一个ACK+SYN(可以+请确认)。而真实的IP会认为,我没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYNTime(一般30秒-2分钟)后,丢弃这个连接。如果攻击者大量发送这种伪造源地址的SYN请求,服务器端将会

8、消耗非常多的资源来处理这种半连接,保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。最后的结果是服务器无暇理睬正常的连接请求—拒绝服务。在服务器上用netstat–an命令查看SYN_RECV状态的话,就可以看到:图如果我们抓包来看:图可以看到大量的SYN包没有ACK回应。3.1.2SYNFlood防护²目前市面上有些防火墙具有SYN²Proxy功能,这种方法一般是定每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段数的阀值,当来自

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。