服務器DDOS攻擊詳細介紹

一、DDoS攻擊存在的原因是?

當下因特網(wǎng)帶寬的增加和各種 DDoS黑客工具的不斷推出， DDoS拒絕服務攻擊的實施變得更加容易， DDoS攻擊事件也隨之增多。原因在于行業(yè)中存在的商業(yè)競爭、打擊報復和網(wǎng)絡敲詐等，許多網(wǎng)絡服務提供商托管機房、商業(yè)網(wǎng)站、游戲服務器、聊天網(wǎng)等長期受到 DDoS攻擊的困擾，而 DDoS攻擊所帶來的客戶投訴、與虛擬主機用戶的牽連、法律糾紛、商業(yè)損失等是網(wǎng)絡服務提供商必須考慮的首要問題。

二、DDoS的真面目是?

DDoS就是Distributed Denial of Service，中文就是“分布式拒絕服務”，那何為拒絕服務?可以這么理解，只要可以導致合法用戶無法訪問正常網(wǎng)絡服務的行為都歸于是拒絕服務攻擊。一句話解釋是DDOS攻擊的目的清晰，就是要合法用戶對正常網(wǎng)絡資源的無法訪問，由此達到攻擊者目的。盡管同樣絕服務攻擊，但DDoS和DOS還是不一樣的。DDoS的攻擊策略是通過大量的被攻擊者入侵或間接使用的主機向受害者主機發(fā)送大量看似合法的網(wǎng)絡包，導致網(wǎng)絡堵塞或服務器資源耗盡，拒絕服務。一旦實施DDOS攻擊，攻擊網(wǎng)絡包類似洪水一樣涌向受害者主機，從而丟失合法用戶的網(wǎng)絡包，使得合法用戶無法異常訪問服務器的網(wǎng)絡資源。拒絕服務攻擊還有一個名字是“洪水式攻擊”，普遍的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS進行的是針對主機特定的漏洞攻擊這樣導致的就是網(wǎng)絡棧失效、主機死機使得等無法提供網(wǎng)絡服務的正常功能等，從而導致的拒絕服務。DOS攻擊手段最普遍的就是TearDrop、Land、Jolt、IGMP的Nuker、Boink、Smurf、Bonk、OOB等。對于這兩種拒絕服務攻擊而言，DDoS攻擊的危害較大，這是由于很難防止DOS攻擊，通過補丁或安裝主機服務器的防火墻軟件，以后詳細介紹如何應對DDoS攻擊。

三、被DDoS了嗎?

DDoS攻擊大致分兩種，一為對網(wǎng)絡帶寬的攻擊，利用了大量攻擊包這樣網(wǎng)絡帶寬出現(xiàn)阻礙，合法網(wǎng)絡包被淹沒，到達不了主機；另外一個是對資源耗盡的攻擊，是通過對服務器主機的攻擊，使大量攻擊包導致主機內(nèi)存耗盡，或者內(nèi)核和應用程序占用不足，導致無法提供網(wǎng)絡服務。

怎樣判斷網(wǎng)站是否受到了流量的攻擊？

可以用 Ping命令進行測試，如果發(fā)現(xiàn) Ping超時或包丟失嚴重(假設正常情況下是正常)，則可能受到流量攻擊；如果在發(fā)現(xiàn)與您的主機連接在同一個交換機上的服務器無法訪問，則基本上可以確定該服務器受到流量攻擊。當然，這類測試的前提是您與服務器主機之間的 ICMP協(xié)議不會被諸如路由器和防火墻之類的設備屏蔽，否則可以采用 Telnet主機服務器的網(wǎng)絡服務端口進行測試，其效果相同。但是，如果平時Ping的主機服務器和連接到同一個交換機的主機服務器正常的話，Ping突然不通了，或者丟失了很多包，如果能夠排除網(wǎng)絡故障因素的話，一定會受到流量攻擊。另一個流量攻擊的典型現(xiàn)象是，如果受到流量攻擊，用遠程終端連接站點服務器就會失敗。

與流量攻擊相比，資源消耗攻擊更容易判斷。如果Ping站點的主機和訪問站點通常是正常的，則突然發(fā)現(xiàn)站點訪問非常緩慢或無法訪問，而Ping也可以通過Ping，則可能會受到資源消耗攻擊。此時，如果您使用Netstat-na命令觀察到大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)，而ESTABLISHED較少，則可以確定您遭受了資源消耗攻擊。另一個是資源消耗攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機Ping不通或者包丟失嚴重，Ping和自己的主機在同一個交換機上的服務器正常，是因為網(wǎng)站主機受到攻擊后，系統(tǒng)內(nèi)核和應用程序的CPU利用率達到100%。

1、SYN/ACKFlood攻擊:這種攻擊方法是經(jīng)典最有效的DDoS方法，可以殺死各種系統(tǒng)的網(wǎng)絡服務。途徑是向目標主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機緩存資源耗盡或忙于發(fā)送響應包而拒絕服務。因為源是偽造的，很難跟蹤，缺點是很難實現(xiàn)，需要高帶寬的僵尸主機支持。少量的攻擊會使主機服務器的無法訪問，不過可以Ping。在服務器上Netstat-na命令會發(fā)現(xiàn)到大量的SYN_RECEIVED狀態(tài)。大量的攻擊使Ping值丟包，，系統(tǒng)凝固，TCP/IP棧失效，即不響應鍵盤和鼠標。大多數(shù)普通防火墻無法抵御這種攻擊。

2、TCP全連接攻擊:該攻擊是為了繞過通常的防火墻的檢查而設計的，通常的防火墻大多具有過濾TearDrop、Land等DOS攻擊的能力，但是錯過了通常的TCP連接，很多網(wǎng)絡服務程序(IIS、Apache等網(wǎng)絡服務器)可以接受的TCP連接數(shù)是有限的，如果有大量的TCP連接，即使正常，網(wǎng)站的訪問也會非常緩慢。TCP全連接攻擊的方法是在大量的僵尸主機和攻擊的目標服務器中建立許多的TCP連接，直到服務器內(nèi)存等資源消失為止，拒絕服務，繞過一般防火墻的防護從而完成攻擊目的，不足之處在尋找很多僵尸主機。

3、刷式腳本攻擊：該攻擊主要針對網(wǎng)站系統(tǒng)，該系統(tǒng)中存在 ASP、 JSP、 PHP、 CGI等腳本程序，并調(diào)用 MSSQLServer、 MySQLServer、 Oracle等數(shù)據(jù)庫，特點在于服務器建立正常的 TCP連接，一直向腳本程序發(fā)送查詢、列表等大量消耗數(shù)據(jù)庫資源的調(diào)用，典型的以小博大方式攻擊。一般而言，提交 GET或 POST指令對客戶端的消耗和帶寬的消耗可以忽略不計，而為了處理這個請求，服務器可能需要從數(shù)以萬計的記錄中找出某個記錄，這種處理過程對資源的消耗非常大，常見的數(shù)據(jù)庫服務器很少能夠支持同時執(zhí)行數(shù)百條查詢指令，而對客戶端來說，這樣做很容易。攻擊者利用 Proxy代理給主機服務器大量發(fā)送查詢指令，幾分鐘內(nèi)就會消耗服務器資源并導致拒絕服務，常見的情況是網(wǎng)站速度慢， PHP連接數(shù)據(jù)庫失敗或ASP程序失效，數(shù)據(jù)庫主程序占用 CPU。這類攻擊的特點是可以完全繞過一般的防火墻保護，很容易找到一些 Proxy代理來實施攻擊，缺點是針對只針對靜態(tài)頁面的網(wǎng)站效果會大打折扣，而且一些 Proxy會暴露攻擊者的 IP地址。

標題名稱：服務器DDOS攻擊詳細介紹
當前鏈接：http://www.bm7419.com/news16/273016.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站營銷、網(wǎng)站建設、企業(yè)建站、關鍵詞優(yōu)化、域名注冊、響應式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)