网络安全之什么是DDoS攻击?

      众所周知，在网络安全上总是有各种各样的网络攻击，它们的种类繁多，攻击的方式也不尽相同，而在这么多的网络攻击当中，小编在这里要说的是DDoS攻击，也就是分布式拒绝服务攻击。究竟什么是DDoS攻击呢?跟着小编一起来探索探索吧!

　　分布式拒绝服务DDoS攻击是对传统DoS攻击的发展，攻击者首先侵入并控制一些计算机，然后控制这些计算机同时向一个特定的目标发起拒绝服务攻击。攻击者想办法让目标服务器的磁盘空间、内存、进程、网络带宽等资源被占满，从而导致正常用户无法访问，好比是一个正常的商店，有人恶意找大量人去排队但是不买东西，导致其他顾客也无法买到东西。

　　攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，无法接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

　　传统的拒绝服务攻击有受网络资源的眼制和隐蔽性差两大缺点，而分布式拒绝服务攻击却克服了传统拒绝服务攻击的这两个致命弱点。分布式拒绝服务攻击的隐蔽性更强。目前， DDoS技术发展十分迅速，由于其隐蔽性和分布性很难被识知和防御。

　　DDoS攻击现象

　　①被攻击主机上有大量等待的TCP连接。

　　②大量到达的数据分组(包括TCP分组和UDP分组)并不是网站服务连接的一部分，往往指向机器的任意端口。

　　③网络中充斥着大量的无用的数据包，源地址为假。

　　④制造高流量的无用数据，造成网络拥塞，使受害主机无法正常和外界通信。

　　⑤利用受害主机提供的服务和传输协议上的缺陷，反复发出服务请求，使受害主

　　机无法及时处理所有正常请求。

　　⑥严重时会造成死机。

　　DDoS攻击目的

　　DDoS攻击只需要通过控制僵尸电脑即可实现，任何熟悉黑客技术的人，都可以针对目标发起攻击，成本很低。所以，不只是黑客或技术人员，普通人也可以雇佣黑客发动。比如，竞争敌手、对网站或单位不满的人，甚至可能是离职员工或撕毁合约的合作伙伴。

　　攻击者通过DDoS攻击大多是为了勒索或竞争，单纯搞破坏的很少。大家所熟悉的针对巴西世界杯的攻击的Anonymous组织，就是表示对巴西的贫困现象、腐败和警方暴力表示抗议而发动DDoS攻击。甚至，他们还制定了一个名为“攻击世界杯行动”的计划。

　　DDoS攻击方式

　　从技术方面讲，攻击者常用的DDoS攻击方式主要有以下几种：

　　SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDoS方法，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，可通杀各种系统的网络服务。这种攻击由于源头都是伪造的，所以追踪起来比较困难。但是，该攻击实施起来有一定难度，需要大量高带宽的僵尸主机。

　　TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的。一般情况下，常规防火墙大多对于正常的TCP连接是放过的，但是很多网络服务程序能接受的TCP连接数是有限的。TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务。种攻击的特点是可绕过一般防火墙的防护而达到攻击;缺点是需要找很多僵尸主机，且僵尸主机的IP是暴露，易被追踪。

　　刷Script脚本攻击：这种攻击是跟服务器建立正常的TCP连接， 并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用。一般来说， 提交一个指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是非常大。攻击者只需通过代理向目标服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务。这种攻击的特点是可以完全绕过普通的防火墙防护， 轻松找一些代理就可实施攻击;缺点是对付只有静态页面的网站效果会大打折扣，并且会暴露攻击者的IP地址。

　　DDoS攻击结构

      DDoS引入了分布式攻击和ClientlServer结构，使DoS的威力激增。同时，DDoS囊括了已经出现的各种重要的DoS攻击方法，比DoS的危害性更大。现有的DDoS工具一般采用三级结构，如下图所示，其中Client(客户端)运行在攻击者的主机上，用来发起和控制DDoS攻击Handler(主控端)运行在己被攻击者侵入并获得控制的主机上，用来控制代理端Agent(代理端)运行在己被攻击者侵入并获得控制的主机上，从主控端接收命令，负责对目标实施实际的攻击。

图1 DDoS的三级控制结构

　　DDoS攻击分类

　　按照TCP/IP协议的层次可将DDOS攻击分为基于ARP的攻击、基于ICMP的攻击、基于IP的攻击、基于UDP的攻击、基于TCP的攻击和基于应用层的攻击。在这里，小编就不详细地对每一个DDoS攻击类型展开分析了，大家如果感兴趣也可以去搜索相关文章来了解学习。

　　对付DDoS攻击的方法

　　①在数据流中搜寻特征字符串。攻击者在传达攻击命令或发送攻击数据时，虽然都加入了伪装甚至加密，但是其数据包中还是有一些特征字符串。通过搜寻这些特征字符串，就可以确定攻击服务器和攻击者的位置。

　　②利用攻击数据包的某些特征。

　　③设置防火墙监视本地主机端口的使用情况。

　　④对通信数据量进行统计也可获得有关攻击系统的位置和数量信息。

　　⑤IP逆向追踪。在当前IP源地址可欺骗的情况下，准确、快速追踪攻击源是防范网络攻击尤其是DOS攻击的关键，通过IP逆向追踪技术就近封锁攻击流或采取其他的制裁措施。

　　分布式拒绝服务攻击采取的攻击手段就是分布式的，在攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，我们需要对分布式攻击进行必要的分析，从而可以了解它的攻击特性，进而可以采取适当地措施来抵御DDoS攻击。以上就是本文的全部内容了，希望能给大家带来一定的帮助，更多的学习课程可搜索课课家教育。