返回
对ddos攻击防御的一点新思考

对ddos攻击防御的一点新思考

ID:23552444

大小:56.50 KB

页数:8页

时间:2018-11-09

对ddos攻击防御的一点新思考_第1页
对ddos攻击防御的一点新思考_第2页
对ddos攻击防御的一点新思考_第3页
对ddos攻击防御的一点新思考_第4页
对ddos攻击防御的一点新思考_第5页
资源描述:

《对ddos攻击防御的一点新思考》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、对DDoS攻击防御的一点新思考摘要:随着Inter互联X络带宽的增加和多种DDoS工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击随处可见,人们为克服DDoS攻击进行了大量研究,提出了多种解决方案。本文系统分析了DDoS攻击的原理和攻击思路,从管理和技术两个方面提出一些关于减少DDoS攻击方法。关键词:DDoS拒绝服务X络攻击  随着Inter互联X络带宽的增加和多种DDoS工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件正在呈上升趋势。出于商业竞争、打击报复和X络敲诈等多种因素,导致很多IDC托管

2、机房、商业站点、游戏服务器、聊天X络等X络服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDoS攻击问题成为X络服务商必须要考虑的头等大事。在探讨DDoS之前我们首先要对DoS有所了解,DoS即DenialOfService,拒绝服务的缩写。DoS是指故意的攻击X络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或X络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标X络设备

3、。通常而言,DoS的X络数据包是利用TCP/IP协议在Inter传输,这些数据包本身一般是无害的,但是如果数据包异常过多,就会造成X络设备或者服务器过载,迅速消耗了系统资源,造成服务拒绝,这就是DoS攻击的基本工作原理。DoS攻击之所以难于防护,其关键之处就在于非法流量和合法流量相互混杂,防护过程中无法有效的检测到DoS攻击。加之许多DoS攻击都采用了伪造源地址IP的技术,从而成功的躲避了基于统计模式工具的识别。具体DoS攻击实现有如下几种方法:1.SYNFLOOD  利用服务器的连接缓冲区,设置特殊的TCP包头,向服务器端不断地发送大量

4、只有SYN标志的TCP连接请求。当服务器接收的时候,认为是没有建立起来的连接请求,于是这些请求建立会话,排到缓冲区队列中。如果发送的SYN请求超过了服务器能容纳的限度,缓冲区队列占满,那么服务器就不再接收新的请求了,因此其他合法用户的连接都会被拒绝掉。如下图所示:本来正常的TCP连接是需要三次握手协议完成的,攻击者先向目的主机发出一个SYN请求,由于目的主机不能判断对方是否恶意,所以会回复一个SYN/ACK,这样在目的主机就需要维护一个这样的半连接,等待对方回复ACK后,完成整个连接的建立。攻击者正是利用了这一点,他只发送大量的SYN报文

5、,并不回复ACK,这样在目的主机中就维护了大量的半连接队列,由于主机的资源是有限的,攻击者通过持续不断的发送SYN报文,耗尽了目的主机的资源,使得正常的服务连接得不到建立,X络处于瘫痪状态。2.IP欺骗DoS攻击  这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,会认为从1.1.1.1发送的连接有错误,从而清空缓冲区中建立好的连接。这时,如果合法用户1.1.1

6、.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击者伪造大量的IP地址,向目标主机发送RST数据,从而使服务器不对合法用户服务。  3.带宽DoS攻击(UDPFlood,ICMPFlood)  这类攻击完全利用连接带宽足够大,持续向目标服务器发送大量请求,如UDP的包,ICMP的ping包,来消耗服务器的缓冲区,或者仅消耗服务器的连接带宽,从而达到X络拥塞,使服务器不能正常提供服务。  单一的DoS攻击一般是采用一对一方式的,而“分布式拒绝服务攻击”(DistributedDenialofService,

7、简称DDoS)是建立在传统的DoS攻击基础之上一类攻击方式。当计算机与X络的处理能力加大了,用一台攻击机来攻击不再能起作用的话,攻击者就使用10台甚至100台攻击机同时攻击。这就是DDoS。DDoS就是利用更多的傀儡机“肉鸡”来同时发起进攻,更大规模的来进攻受害者,破坏力更强。DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的X络攻击,由于TCP/IP协议的这种会话机制漏洞无法修改,因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的,而且现有防火墙设备还会因为有限的处理能力陷入瘫痪,成为X

8、络运行瓶颈;另外,攻击过程中目标主机也必然陷入瘫痪。  现在,高速X络给大家带来了方便,但同时也为DDoS攻击创造了极为有利的条件。在低速X络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。