DDoS攻擊是強(qiáng)大的，作為一種分布、協(xié)作的大規(guī)模攻擊方式，它往往把受害目標(biāo)鎖定在大型Internet站點(diǎn)，例如商業(yè)公司、搜索引擎或政府部門網(wǎng)站。由于DDoS攻擊的惡劣性，難以被偵測(cè)和控制，來勢(shì)迅猛又令人難以防備，具有極大破壞力因此也廣泛受到網(wǎng)絡(luò)安全業(yè)界的關(guān)注。

　　DDoS攻擊原理

　　我們先來研究最常見的SYN攻擊, SYN攻擊屬于DOS Denial of Servic攻擊的一種，它利用TCP協(xié)議缺陷，通過發(fā)送大量的半連接請(qǐng)求，耗費(fèi)CPU和內(nèi)存資源。TCP協(xié)議建立連接的時(shí)候需要雙方相互確認(rèn)信息,來防止連接被偽造和精確控制整個(gè)數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效。所以TCP協(xié)議采用三次握手建立一個(gè)連接。

　　第一次握手：建立連接時(shí)，客戶端發(fā)送syn包到服務(wù)器，并進(jìn)入SYN_SEND狀態(tài)，等待服務(wù)器確認(rèn);　 第二次握手：服務(wù)器收到syn包，確認(rèn)客戶的SYN 同時(shí)自己也發(fā)送一個(gè)SYN包 即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);

　　第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手。

　　DDoS攻擊種類

　　由于肉雞的木馬可以隨時(shí)更新攻擊的數(shù)據(jù)包和攻擊方式，所以新的攻擊更新非�？爝@里我們介紹幾種常見的攻擊的原理和方法

　　1.SYN變種攻擊：發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié),這種攻擊會(huì)造成一些防火墻處理錯(cuò)誤導(dǎo)致鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。

　　2.TCP混亂數(shù)據(jù)包攻擊：發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會(huì)造成一些防火墻處理錯(cuò)誤導(dǎo)致鎖死，消耗服務(wù)器CPU內(nèi)存的同時(shí)還會(huì)堵塞帶寬。

　　3.針對(duì)UDP協(xié)議攻擊： 很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)模�攻擊者針�?duì)分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護(hù)，一般防護(hù)墻通過攔截攻擊數(shù)據(jù)包的特征碼防護(hù)，但是這樣會(huì)造成正常的數(shù)據(jù)包也會(huì)被攔截。

　　4.針對(duì)WEB Server的多連接攻擊：通過控制大量肉雞同時(shí)連接訪問網(wǎng)站，造成網(wǎng)站無法處理癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個(gè)連接過來的IP連接數(shù)來防護(hù)，但是這樣會(huì)造成正常用戶稍微多打開幾次網(wǎng)站也會(huì)被封。

　　5.針對(duì)WEB Server的變種攻擊： 通過控制大量肉雞同時(shí)連接訪問網(wǎng)站，一點(diǎn)連接將不間斷發(fā)送一些特殊的GET訪問請(qǐng)求，造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費(fèi)大量的CPU，這樣通過限制每個(gè)連接過來的IP連接數(shù)進(jìn)行防護(hù)的方法就失效了，因?yàn)槊總�(gè)肉雞可能只建立一個(gè)或者只建立少量的連接。這種攻擊非常難防護(hù)。

　　6. 針對(duì)WEB Server的變種攻擊： 通過控制大量肉雞同時(shí)連接網(wǎng)站端口，但是不發(fā)送GET請(qǐng)求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個(gè)字節(jié)是GET字符然后來進(jìn)行http協(xié)議的分析，這種攻擊，不發(fā)送GET請(qǐng)求就可以繞過防火墻到達(dá)服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會(huì)超過10M ，所以大量的肉雞攻擊數(shù)據(jù)包就會(huì)把這臺(tái)服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護(hù)，因?yàn)槿绻�只�?jiǎn)單的攔截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包，會(huì)錯(cuò)誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問。

　　7.針對(duì)游戲服務(wù)器的攻擊：因?yàn)橛螒蚍��?wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊(cè)端口7000，人物選擇端口7100，以及游戲運(yùn)行端口7200、7300、7400等，因?yàn)橛螒蜃约旱膮f(xié)議設(shè)計(jì)的非常復(fù)雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進(jìn)行自動(dòng)注冊(cè)、登陸、建立人物、進(jìn)入游戲活動(dòng)從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。

　　DDoS防護(hù)

　　以上介紹的幾種最常見的攻擊也是比較難防護(hù)的攻擊。一般基于包過濾的防火墻只能分析每個(gè)數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護(hù)SYN或者變種的SYNACK攻擊效果不錯(cuò),但是不能從根本上來分析TCP、UDP協(xié)議和針對(duì)應(yīng)用層的協(xié)議。比如http、游戲協(xié)議、軟件視頻音頻協(xié)議�，F(xiàn)在的新的攻擊越來越多的針對(duì)應(yīng)用層協(xié)議漏洞攻擊，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個(gè)數(shù)據(jù)包里面有什么數(shù)據(jù)，根本無法很好的防護(hù)新型的攻擊。

　　目前防護(hù)網(wǎng)絡(luò)攻擊效果比較好的有傲盾，黑洞，和金盾防火墻.傲盾是基于連接狀態(tài)檢測(cè)的防火墻,防護(hù)SYN攻擊和SYN變種攻擊、TCP混亂數(shù)據(jù)包攻擊，效果都差不多。因?yàn)榘炼芑�于連接狀態(tài)檢測(cè)的防火墻，3-7類的涉及到網(wǎng)絡(luò)軟件自己的網(wǎng)絡(luò)協(xié)議的效果會(huì)好一些。 根據(jù)傲盾實(shí)驗(yàn)室測(cè)試，針對(duì)UDP協(xié)議的攻擊，基于連接狀態(tài)檢測(cè)的傲盾防火墻可以記錄每個(gè)UDP包所屬的連接，判斷此連接是否登陸，是否通過驗(yàn)證，如果沒有通過驗(yàn)證，無論發(fā)送的數(shù)據(jù)包是否合法都會(huì)被攔截掉。第4、5、6 種攻擊，基于連接狀態(tài)檢測(cè)的傲盾防火墻可以徹底分析HTTP協(xié)議，分析每個(gè)數(shù)據(jù)包所歸屬的HTTP連接，此連接是否是正常請(qǐng)求，如果不是正常請(qǐng)求，就進(jìn)行攔截。也可以在防火墻里設(shè)置HTTP驗(yàn)證標(biāo)記，這樣防火墻處理新的HTTP協(xié)議的時(shí)候會(huì)隨機(jī)生成一個(gè)HTTP標(biāo)記，肉雞攻擊的時(shí)候不會(huì)處理這個(gè)標(biāo)記，正常的IE打開的時(shí)候，會(huì)處理這個(gè)標(biāo)記，這樣防火墻就可以區(qū)分是不是正常IE打開的網(wǎng)頁。對(duì)于第7種攻擊，基于連接狀態(tài)檢測(cè)的防火墻可以通過多種策略混合過濾來達(dá)到效果，比如可以判斷這個(gè)登陸進(jìn)來的連接有沒有發(fā)送過非法的特殊攻擊包，因?yàn)槿怆u模擬的攻擊假人畢竟是程序控制的，動(dòng)作很少或者一直重復(fù)甚至一直不動(dòng)，這樣就可以判斷這個(gè)連接在游戲里的動(dòng)作10秒內(nèi)是不是一直重復(fù)，重復(fù)多少次，或者是不是一直不動(dòng)，來達(dá)到封鎖假人的效果。

　　小結(jié)

　　現(xiàn)在網(wǎng)絡(luò)發(fā)展速度飛快，新攻擊每個(gè)星期都會(huì)有，傳統(tǒng)的防火墻只能通過設(shè)置傳統(tǒng)的規(guī)則封IP,端口，封連接數(shù)或者按照連接的一些基本特征來封鎖，很難對(duì)新的攻擊做出第一時(shí)間的解決方案。防火墻和攻擊是矛和盾的關(guān)系，防火墻必須做到像殺毒軟件一樣有迅速處理的機(jī)制才能真正把新攻擊扼殺到搖籃之中。

標(biāo)簽： ddos ddos防護(hù) 安全 防火墻 服務(wù)器 漏洞 數(shù)據(jù)庫 搜索 搜索引擎 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。