学习网址:
DDOS和DOS是什么
DOS(拒绝服务)
原理:用一台设备不停的向服务器发送大量的请求。只要服务器处理请求的速度小于攻击者发送请求的速度,这样就被占用了所以的服务器资源。让正常访问者无法访问服务器。
缺点:
- 如果攻击的攻击的速度小于服务器处理速度的话,那么服务器就不会有任何问题,最多也就是消耗了部分的资源而非所有资源。
- 因为是一台设备,所以很容易被溯源(su yuan),只要服务器拒绝了这个IP地址的所有连接,就可以摆脱该设备的DOS攻击了。
DDOS(分布式拒绝服务)
原理:在DOS的基础上,将一个攻击者拓展成了一群攻击者。(藏兵与民,藏在民众的设备中),通过各种手段获取僵尸设备(肉鸡),僵尸设备可以是服务器、手机、扫地机器人(能联网的设备都可能是肉鸡)。入侵设备后,在设备上运行,设备在日常工作的时候,会不知不觉的为攻击者提供攻击资源。
攻击者拥有的僵尸网络(设备)越庞大,发起的攻击越可怕。
发动攻击的时候,被攻击的服务器会发现:攻击流量是从世界不同的地方来的,并且混合在正常访问流量之中。没法快速区分那些是正常的那些是攻击的流量。
即使找到了攻击设备,也没办法确定攻击者。因为控制僵尸设备的还是僵尸设备(也就是说为什么学网络安全相关的首先学的就是如何隐藏自己)。层级越多,越难被溯源。
DDOS的攻击手段
网络传输依靠TCP/IP的四层结构。上三层都有多种方式进行攻击。
比如:
- 利用TCp协议的三次握手。正常网页访问就是通过TCP三次握手建立连接的,网络波动会导致连接建立需要多次确认这是正常的,但是攻击者会修改访问源地址发送大量建立连接请求,服务器收到建立请求就会回复多次应答,但是应答目标地址是否可达到都不一定,这种就是空连接。会消耗大量的服务器资源,最后导致服务器无暇处理正常访问请求
- 通过DNS服务器放大攻击。普通DNS请求的话,服务器需要回复网址对应的IP地址,通常流量是请求流量的5倍大小。攻击者把请求源地址修改成被攻击者,然后将请求内容发送给DNS服务器,DNS服务器就会发送大量的DNS应答报文给被攻击服务器。服务器不仅需要处理无意义的应答报文,还要消耗带宽来接收数据。正常的访问请求甚直都无法到达服务器。
- UDP、ICMP、NTP、SSDP等网络协议都可以被攻击者利用 ....(变种多、成本低、隐蔽性强、效果好)
防止DDOS攻击的方式
- 软件防火墙
- 硬件防火墙
- 等防火墙设备(设置企业的网络出口)(设置防火墙的同时还能配置各种广域网协议和各类VPN)
- 租用云提供商的高防节点
- DDOS防火墙(清洗流量)(太贵)
总结
ddos 其实就是你向别人提供服务,有问必答,ddos就是拿重复问题不停的问你, 你还得完整的回答, 且是同时回答! 防范也很麻烦,如认证,规定每人只能问一次, 或者买vip之类的, 发现你违规拉你进黑名单, 这样普通人就无法享受原本方便的服务了,而多了中间很多道环节!