DDoS攻擊是強大的，作為一種分布、協(xié)作的大規(guī)模攻擊方式，它往往把受害目標鎖定在大型Internet站點，例如商業(yè)公司、搜索引擎或政府部門網(wǎng)站。由于DDoS攻擊的惡劣性，難以被偵測和控制，來勢迅猛又令人難以防備，具有極大破壞力因此也廣泛受到網(wǎng)絡(luò)安全業(yè)界的關(guān)注。

　　DDoS攻擊原理

　　我們先來研究最常見的SYN攻擊, SYN攻擊屬于DOS Denial of Servic攻擊的一種，它利用TCP協(xié)議缺陷，通過發(fā)送大量的半連接請求，耗費CPU和內(nèi)存資源。TCP協(xié)議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數(shù)據(jù)傳輸過程數(shù)據(jù)完整有效。所以TCP協(xié)議采用三次握手建立一個連接。

　　第一次握手：建立連接時，客戶端發(fā)送syn包到服務(wù)器，并進入SYN_SEND狀態(tài)，等待服務(wù)器確認;　 第二次握手：服務(wù)器收到syn包，確認客戶的SYN 同時自己也發(fā)送一個SYN包 即SYN+ACK包，此時服務(wù)器進入SYN_RECV狀態(tài);

　　第三次握手：客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認包ACK此包發(fā)送完畢，客戶端和服務(wù)器進入ESTABLISHED狀態(tài)，完成三次握手。

　　DDoS攻擊種類

　　由于肉雞的木馬可以隨時更新攻擊的數(shù)據(jù)包和攻擊方式，所以新的攻擊更新非�？爝@里我們介紹幾種常見的攻擊的原理和方法

　　1.SYN變種攻擊：發(fā)送偽造源IP的SYN數(shù)據(jù)包但是數(shù)據(jù)包不是64字節(jié)而是上千字節(jié),這種攻擊會造成一些防火墻處理錯誤導致鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。

　　2.TCP混亂數(shù)據(jù)包攻擊：發(fā)送偽造源IP的 TCP數(shù)據(jù)包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火墻處理錯誤導致鎖死，消耗服務(wù)器CPU內(nèi)存的同時還會堵塞帶寬。

　　3.針對UDP協(xié)議攻擊： 很多聊天室，視頻音頻軟件，都是通過UDP數(shù)據(jù)包傳輸?shù)�，攻擊者針對分析要攻擊的網(wǎng)絡(luò)軟件協(xié)議，發(fā)送和正常數(shù)據(jù)一樣的數(shù)據(jù)包，這種攻擊非常難防護，一般防護墻通過攔截攻擊數(shù)據(jù)包的特征碼防護，但是這樣會造成正常的數(shù)據(jù)包也會被攔截。

　　4.針對WEB Server的多連接攻擊：通過控制大量肉雞同時連接訪問網(wǎng)站，造成網(wǎng)站無法處理癱瘓，這種攻擊和正常訪問網(wǎng)站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火墻可以通過限制每個連接過來的IP連接數(shù)來防護，但是這樣會造成正常用戶稍微多打開幾次網(wǎng)站也會被封。

　　5.針對WEB Server的變種攻擊： 通過控制大量肉雞同時連接訪問網(wǎng)站，一點連接將不間斷發(fā)送一些特殊的GET訪問請求，造成網(wǎng)站數(shù)據(jù)庫或者某些頁面耗費大量的CPU，這樣通過限制每個連接過來的IP連接數(shù)進行防護的方法就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護。

　　6. 針對WEB Server的變種攻擊： 通過控制大量肉雞同時連接網(wǎng)站端口，但是不發(fā)送GET請求而是亂七八糟的字符，大部分防火墻分析攻擊數(shù)據(jù)包前三個字節(jié)是GET字符然后來進行http協(xié)議的分析，這種攻擊，不發(fā)送GET請求就可以繞過防火墻到達服務(wù)器，一般服務(wù)器都是共享帶寬的，帶寬不會超過10M ，所以大量的肉雞攻擊數(shù)據(jù)包就會把這臺服務(wù)器的共享帶寬堵塞造成服務(wù)器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發(fā)送過來沒有GET字符的數(shù)據(jù)包，會錯誤的封鎖很多正常的數(shù)據(jù)包造成正常用戶無法訪問。

　　7.針對游戲服務(wù)器的攻擊：因為游戲服務(wù)器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊端口7000，人物選擇端口7100，以及游戲運行端口7200、7300、7400等，因為游戲自己的協(xié)議設(shè)計的非常復雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發(fā)現(xiàn)新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數(shù)據(jù)協(xié)議層面模擬正常的游戲玩家，很難從游戲數(shù)據(jù)包來分析出哪些是攻擊哪些是正常玩家。

　　DDoS防護

　　以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基于包過濾的防火墻只能分析每個數(shù)據(jù)包，或者有限的分析數(shù)據(jù)連接建立的狀態(tài)，防護SYN或者變種的SYNACK攻擊效果不錯,但是不能從根本上來分析TCP、UDP協(xié)議和針對應(yīng)用層的協(xié)議。比如http、游戲協(xié)議、軟件視頻音頻協(xié)議�，F(xiàn)在的新的攻擊越來越多的針對應(yīng)用層協(xié)議漏洞攻擊，或者分析協(xié)議然后發(fā)送和正常數(shù)據(jù)包一樣的數(shù)據(jù)，或者干脆模擬正常的數(shù)據(jù)流，單從數(shù)據(jù)包層面，分析每個數(shù)據(jù)包里面有什么數(shù)據(jù)，根本無法很好的防護新型的攻擊。

　　目前防護網(wǎng)絡(luò)攻擊效果比較好的有傲盾，黑洞，和金盾防火墻.傲盾是基于連接狀態(tài)檢測的防火墻,防護SYN攻擊和SYN變種攻擊、TCP混亂數(shù)據(jù)包攻擊，效果都差不多。因為傲盾基于連接狀態(tài)檢測的防火墻，3-7類的涉及到網(wǎng)絡(luò)軟件自己的網(wǎng)絡(luò)協(xié)議的效果會好一些。 根據(jù)傲盾實驗室測試，針對UDP協(xié)議的攻擊，基于連接狀態(tài)檢測的傲盾防火墻可以記錄每個UDP包所屬的連接，判斷此連接是否登陸，是否通過驗證，如果沒有通過驗證，無論發(fā)送的數(shù)據(jù)包是否合法都會被攔截掉。第4、5、6 種攻擊，基于連接狀態(tài)檢測的傲盾防火墻可以徹底分析HTTP協(xié)議，分析每個數(shù)據(jù)包所歸屬的HTTP連接，此連接是否是正常請求，如果不是正常請求，就進行攔截。也可以在防火墻里設(shè)置HTTP驗證標記，這樣防火墻處理新的HTTP協(xié)議的時候會隨機生成一個HTTP標記，肉雞攻擊的時候不會處理這個標記，正常的IE打開的時候，會處理這個標記，這樣防火墻就可以區(qū)分是不是正常IE打開的網(wǎng)頁。對于第7種攻擊，基于連接狀態(tài)檢測的防火墻可以通過多種策略混合過濾來達到效果，比如可以判斷這個登陸進來的連接有沒有發(fā)送過非法的特殊攻擊包，因為肉雞模擬的攻擊假人畢竟是程序控制的，動作很少或者一直重復甚至一直不動，這樣就可以判斷這個連接在游戲里的動作10秒內(nèi)是不是一直重復，重復多少次，或者是不是一直不動，來達到封鎖假人的效果。

　　小結(jié)

　　現(xiàn)在網(wǎng)絡(luò)發(fā)展速度飛快，新攻擊每個星期都會有，傳統(tǒng)的防火墻只能通過設(shè)置傳統(tǒng)的規(guī)則封IP,端口，封連接數(shù)或者按照連接的一些基本特征來封鎖，很難對新的攻擊做出第一時間的解決方案。防火墻和攻擊是矛和盾的關(guān)系，防火墻必須做到像殺毒軟件一樣有迅速處理的機制才能真正把新攻擊扼殺到搖籃之中。

標簽： ddos ddos防護 安全 防火墻 服務(wù)器 漏洞 數(shù)據(jù)庫 搜索 搜索引擎 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。