一种通过耗尽CPU、内存、带宽以及磁盘空间等系统资源,来阻止或削弱对网络、系统或应用程序的授权使用行为
是一种针对某些服务可用性的攻击,可以作为dos攻击的资源有:网络带宽,系统资源,应用资源
经典拒绝服务攻击:泛洪攻击(目标占据所有目标组织的网络连接容量)
源地址欺骗(采用伪造的源地址,攻击者可以制造出大量的目的地址指向目标系统的数据包,拥塞将发生在连接到最终的低容量链路的路由器,需要整个网络的工程师来协作检测,耗时耗力)
SYN欺骗:通过造成服务器上用于管理TCP的连接表溢出,从而攻击网络服务器响应TCP连接请求,以后的合法用户的连接请求将得不到服务器响应,是针对系统资源的dos攻击,具体的说就是针对操作系统上网络处理程序的攻击
根据攻击所使用的网络协议不同,泛洪攻击可以划分不同类型,大部分目的都是使服务器的链路超负荷,几乎任何类型的网络数据包都可以用来进泛洪攻击(ICMP,UDP,TCPSYN等)
HTTP泛洪攻击:利用http请求攻击web服务器,消耗相当大资源,爬虫
Slowloris:通过向web服务器不停地发送不完整的http请求,攻击最终能耗尽所有web服务器的连接能力,利用合法的HTTP流量,现有依赖特征检测的入侵检测和入侵防御手段无法识别出Slowloris
反射攻击:
• 攻击者将其想攻击的目标系统地址作为数据包的源地址,并将 这些数据包发送给中间媒介上的已知网络服务
• 当中间媒介响应时,大量的响应数据包会被发送给源地址所指 向的目标系统
• 它能有效地使攻击从中间媒介反射出去
• 攻击者就可以利用来自攻击系统的小流量请求数据包在中间媒
介上产生大流量的响应数据包到目标系统
• 过滤数据包是抵御反射攻击的最基本的方式
DNS放大攻击:
• 将DNS服务器作为中间媒介系统,其使用了直接指向合法DNS 服务器的数据包进行攻击。
• 攻击者构造出一系列源地址为目标系统地址的DNS请求数据包 • 攻击者利用DNS协议将较小的请求数据包转化为较大的响应数
据包而达到攻击效果
• 目标系统被响应流量所泛洪
• 对付所有基于反射机制的攻击的基本方法是防止使用虚假地址
不可能完全预防dos攻击,抵御DDOS攻击下面四道防线:
攻击预防和先发制人机制(攻击前)
攻击检测和过滤(攻击时)
攻击源回溯识别(攻击时和攻击后)
攻击反应(攻击后)
拒绝服务攻击防范:
限制主机系统发送带有虚假源地址数据包的能力
可以用过滤器来确认源地址所指向的返回路径是否是当前数据包发送过来使用的路径
使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击
抵御广播放大攻击最好的措施是屏蔽IP定向广播使用
限制或阻塞流向可疑服务、源端口和目的端口组合的网洛流量
可以采用迷宫图,captcha等形式,对于大多数人很容易解决但是对计算机很难
完整的良好系统安全实践也是必须的
一个基于网络服务的组织应该配置镜像,提供更高级别的稳定性和容错能力
• 判定出攻击的类型
• 数据包的捕获、数据包的分析、寻找常见的攻击数据包类型 • 合理配置过滤器来过滤掉这些攻击数据包
• 及时地发现目标系统或应用程序的缺陷缺陷并修复它
• ISP能够追踪攻击数据包流而确定这些包的源 • 这将是很困难的,而且非常耗时
• 如果需要借助于法律手段解决问题,需要收集证据
• 需要一个应急策略
• 切换到备份服务器
• 快速地用新的服务器建立具有新地址的新站点
• 意外情况的进一步措施
• 从经验中吸取教训以改进今后的处理措施
答:
一种通过大量消耗或耗尽CPU,带宽,内存,磁盘空间等系统资源来阻止或削弱对网络,系统或应用程序的授权使用的行为。
答:
一般优先选择攻击:网络带宽,系统资源和应用资源。
洪泛攻击的主要目标是占据所有到目标组织的网络连接容器。是使服务器的链路超负荷或者使服务器处理和响应网络流量的能力超负荷
答:
攻击前:攻击预防和先发制人。
攻击时:攻击检测和过滤。
攻击时和攻击后:攻击源回溯和识别。
攻击后:攻击反应。
答:
限制主机系统发送带有虚假源地址数据包的能力,用过滤器来确认源地址所指向的返回路径是否是当前数据包发送过来所使用的路径,使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击,屏蔽IP定向广播使用,限制或阻塞流向可疑服务,源端口和目的端口组合的网络流量,可以采用迷宫图,captcha等形式,进行完整良好系统安全实践等。过量的网络带宽和复制的分布式服务器,特别是在预期过载的情况下。不能完全预防这种攻击,尤其是现在互联网如此发达的时代,想完全防御此类攻击不是太可能。
答:
使用改进版本的TCP连接处理程序来专门抵御SYN欺骗攻击,把请求连接的关键信息加密编码并保存到cookie中,当合法用户返回ACK应答包时,要求在ACK应答包中包含序号加1的cookie。当TCP连接表溢出时,我们可以通过修改系统的TCP/IP网络处理程序来选择性地丢弃一个TCP连接表中不完全连接的表项。
答:
使用ISP能追踪,但是使用这种方式会很困难且耗费时间,因为ISP将需要跟踪信息流,以识别其数据源。这通常既不容易也不自动化,并且需要这些数据包所经过的网络的所有者的合作才能辨别。经过的网络较少的数据包等容易被追踪。
答:
数据包大小为500字节,使用0.5兆比特的链路目标组织,攻击者要125个数据500000/(500*8),在2Mbps上为500个数据包,2000000/(500*8),在10Mbps上为2500个,10000000/(500*/8)。