DoS(拒絕服務)和DDoS(分散式拒絕服務)攻擊正變得越來越常見和強大。拒絕服務攻擊有多種形式,但有一個共同的目的:阻止使用者訪問資源,無論是網頁、電子郵件、電話網路還是其他完全相同的資源。讓我們看看最常見的針對web目標的攻擊型別,以及DoS如何成為DDoS。...
DoS(拒絕服務)和DDoS(分散式拒絕服務)攻擊正變得越來越常見和強大。拒絕服務攻擊有多種形式,但有一個共同的目的:阻止使用者訪問資源,無論是網頁、電子郵件、電話網路還是其他完全相同的資源。讓我們看看最常見的針對web目標的攻擊型別,以及DoS如何成為DDoS。
最常見的拒絕服務(dos)攻擊型別
在其核心,拒絕服務攻擊通常是透過淹沒伺服器(比如網站的伺服器)來執行的,以至於無法向合法使用者提供服務。有幾種方法可以執行此操作,最常見的是TCP洪泛攻擊和DNS放大攻擊。
tcp洪水攻擊
相關報道:TCP和UDP有什麼區別?
幾乎所有的web(HTTP/HTTPS)通訊都是使用傳輸控制協議(TCP)執行的。TCP比使用者資料報協議(UDP)有更多的開銷,但其設計是可靠的。透過TCP相互連線的兩臺計算機將確認收到每個資料包。如果沒有提供確認,則必須再次傳送資料包。
如果一臺計算機斷開連線怎麼辦?可能使用者斷電,他們的ISP出現故障,或者他們正在使用的任何應用程式在沒有通知另一臺計算機的情況下退出。另一個客戶端需要停止重新發送相同的資料包,否則會浪費資源。為了防止永無止境的傳輸,需要指定超時時間和/或限制在完全斷開連線之前可以重新發送資料包的次數。
TCP的設計是為了在發生災難時促進軍事基地之間的可靠通訊,但正是這種設計使得它容易受到拒絕服務攻擊。當TCP被建立時,沒有人想象它將被超過十億的客戶端裝置使用。針對現代拒絕服務攻擊的保護並不是設計過程的一部分。
對web伺服器最常見的拒絕服務攻擊是透過垃圾郵件SYN(同步)包來執行的。傳送SYN包是啟動TCP連線的第一步。在接收到SYN包之後,伺服器用SYN-ACK包(同步確認)響應。最後,客戶端傳送一個ACK(確認)包,完成連線。
但是,如果客戶端在一個設定的時間內沒有響應SYN-ACK包,伺服器將再次傳送該包,並等待響應。它會反覆重複這個過程,這會浪費伺服器上的記憶體和處理器時間。事實上,如果做得足夠多,它會浪費太多記憶體和處理器時間,以至於合法使用者的會話被縮短,或者新會話無法啟動。此外,所有資料包的頻寬使用量的增加會使網路飽和,使它們無法承載他們實際想要的流量。
dns放大攻擊
相關:什麼是DNS,我應該使用另一個DNS伺服器嗎?
拒絕服務攻擊也可以針對DNS伺服器:翻譯域名的伺服器(如howtogeek.com網站)輸入計算機用來通訊的IP地址(12.345.678.900)。當你打字的時候howtogeek.com網站在瀏覽器中,它會被髮送到DNS伺服器。然後DNS伺服器將您引導到實際的網站。DNS主要考慮的是速度和低延遲,因此該協議透過UDP而不是TCP進行操作。DNS是internet基礎設施的關鍵部分,DNS請求所消耗的頻寬通常是最小的。
然而,DNS發展緩慢,隨著時間的推移,新功能逐漸增加。這就帶來了一個問題:DNS的資料包大小限制為512位元組,這對於所有這些新特性來說都是不夠的。因此,在1999年,IEEE釋出了DNS(EDNS)擴充套件機制規範,將cap增加到4096位元組,允許在每個請求中包含更多的資訊。
然而,這一變化使DNS容易受到“放大攻擊”。攻擊者可以向DNS伺服器傳送精心編制的請求,請求大量資訊,並要求將它們傳送到目標的IP地址。建立“放大”是因為伺服器的響應比生成它的請求大得多,DNS伺服器將向偽造IP傳送響應。
許多DNS伺服器未配置為檢測或丟棄錯誤請求,因此當攻擊者反覆傳送偽造請求時,受害者會被大量EDNS資料包淹沒,從而造成網路擁塞。由於無法處理如此多的資料,它們的合法流量將丟失。
什麼是分散式拒絕服務(ddos)攻擊(a distributed denial of service (ddos) attack)?
分散式拒絕服務攻擊是指具有多個(有時是無意的)攻擊者的攻擊。Web站點和應用程式的設計是為了處理許多併發連線畢竟,如果一次只能訪問一個人,Web站點將不會非常有用。像Google、Facebook或Amazon這樣的大型服務被設計成可以處理數百萬或數千萬的併發使用者。因此,一個攻擊者透過拒絕服務攻擊擊倒他們是不可行的。但許多襲擊者可以。
相關報道:什麼是殭屍網路?
招募攻擊者的最常見方法是透過殭屍網路。在殭屍網路中,駭客會用惡意軟體感染各種網際網路連線裝置。這些裝置可以是電腦、**,甚至是家裡的其他裝置,比如DVR和安全攝像頭。一旦感染,他們可以使用這些裝置(稱為殭屍)定期聯絡命令和控制伺服器以請求指示。這些命令可以從挖掘加密貨幣到參與DDoS攻擊。這樣,他們不需要大量駭客聯合起來,他們可以使用普通家庭使用者不安全的裝置來做他們骯髒的工作。
其他DDoS攻擊可能是自願執行的,通常出於政治動機。像低軌道離子炮這樣的客戶端使拒絕服務攻擊變得簡單,並且易於分發。請記住,(故意)參與DDoS攻擊在大多數國家是非法的。
最後,一些DDoS攻擊可能是無意的。最初被稱為Slashdot效應,並被概括為“死亡擁抱”,巨大的合法流量可以癱瘓一個網站。你以前可能見過這種情況——一個流行的網站連結到一個小部落格,大量使用者的湧入意外地導致網站癱瘓。從技術上講,這仍然被歸類為DDoS,即使它不是故意或惡意的。
如何保護自己免受拒絕服務攻擊?
典型使用者不必擔心成為拒絕服務攻擊的目標。除了流光和專業玩家,DoS很難被指向個人。也就是說,你應該盡你所能保護你的所有裝置免受惡意軟體的傷害,而惡意軟體可能會讓你成為殭屍網路的一部分。
但是,如果您是web伺服器的管理員,那麼您可以獲得大量有關如何保護服務免受DoS攻擊的資訊。伺服器配置和裝置可以減輕一些攻擊。其他的可以透過確保未經驗證的使用者無法執行需要大量伺服器資源的操作來防止。不幸的是,DoS攻擊的成功往往取決於誰擁有更大的管道。Cloudflare和Incapsula等服務透過站在網站前提供保護,但可能會很貴。
