游戏天空论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 61|回复: 0

DDoS 攻击

[复制链接]

1775

主题

1775

帖子

5571

积分

论坛元老

Rank: 8Rank: 8

积分
5571
发表于 2022-9-24 17:18:15 | 显示全部楼层 |阅读模式
受害主机在 DDoS 攻击下,明显特征就是大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。前者可称为带宽消耗攻击,后者称为系统资源消耗攻击。两者可能单独发生,也可能同时发生。
1 带宽消耗攻击DoS 带宽消耗攻击主要为直接洪流攻击。 直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其 Internet 接入带宽。通常用于发送的攻击报文类型有:TCP 报文(可含 TCP SYN 报文),UDP 报文,ICMP 报文,三者可以单独使用,也可同时使用。
- 1.1 TCP 洪流攻击
在早期的 DoS 攻击中,攻击者只发送 TCP SYN 报文,以消耗目标的系统资源。而在 DDoS 攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送 TCP SYN 报文的同时,还发送 ACK, FIN, RST 报文以及其他 TCP 普通数据报文,这称为 TCP 洪流攻击。该攻击在消耗系统资源(主要由 SYN,RST 报文导致)的同时,还能拥塞受害者的网络接入带宽。由于 TCP 协议为 TCP/IP 协议中的基础协议,是许多重要应用层服务(如 WEB 服务,FTP 服务等)的基础,所以 TCP 洪流攻击能对服务器的服务性能造成致命的影响。据研究统计,大多数 DDoS 攻击通过 TCP 洪流攻击实现。
- 1.2UDP 洪流攻击
用户数据报协议(UDP)是一个无连接协议。当数据包经由 UDP 协议发送时,发送双方无需通过三次握手建立连接, 接收方必须接收处理该数据包。因此大量的发往受害主机 UDP 报文能使网络饱和。在一起 UDP 洪流攻击中,UDP 报文发往受害系统的随机或指定端口。通常,UDP 洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击端口没有运行服务,它将用 ICMP 报文回应一个“目标端口不可达”消息。通常,攻击中的 DDoS 工具会伪造攻击包的源 IP 地址。这有助于隐藏代理的身份,同时能确保来自受害主机的回应消息不会返回到代理。UDP 洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
- 1.3 ICMP 洪流攻击
Internet 控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。一个典型的运用就是 Ping 程序,其使用 ICMP_ECHO REQEST 报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的回应消息。ICMP 洪流攻击就是通过代理向受害主机发送大量 ICMP_ECHO_ REQEST)报文。这些报文涌往目标并使其回应报文,两者合起来的流量将使受害主机网络带宽饱和。与 UDP 洪流攻击一样,ICMP 洪流攻击通常也伪造源 IP 地址。
2 系统资源消耗攻击
DDoS 系统资源消耗攻击包括恶意误用 TCP/IP 协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。具体有以下几种:
TCP SYN 攻击。DoS 的主要攻击方式,在 DDoS 攻击中仍然是最常见的攻击手段之一。只不过在 DDoS 方式下,它的攻击强度得到了成百上千倍的增加。  TCP PSH+ACK 攻击。在 TCP 协议中,到达目的地的报文将进入 TCP 栈的缓冲区,直到缓冲区满了,报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而,发送者可通过发送 PSH 标志为 1 的 TCP 报文来起强制要求接受系统将缓冲区的内容清除。TCP PUSH+ACK 攻击与 TCP SYN 攻击一样目的在于耗尽受害系统的资源。当代理向受害主机发送 PSH 和 ACK 标志设为 1 的 TCP 报文时, 这些报文将使接收系统清除所有 TCP 缓冲区的数据(不管缓冲区是满的还是非满),并回应一个确认消息。如果这个过程被大量代理重复,系统将无法处理大量的流入报文。 畸形报文攻击。顾名思义,畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的 IP 报文以使其崩溃。有两种畸形报文攻击方式。一种是 IP 地址攻击,攻击报文拥有相同的源 IP 和目的 IP 地址。它能迷惑受害主机的操作系统,并使其消耗大量的处理能力。另一个是 IP 报文可选段攻击。攻击报文随机选取 IP 报文的可选段并将其所有的服务比特值设为 1。对此,受害系统不得不花费额外的处理时间来分析数据包。当发动攻击的代理足够多时,受害系统将失去处理能力。
3 应用层攻击
典型如国内流行的传奇假人攻击,这种攻击利用傀儡机,模拟了传奇服务器的数据流,能够完成普通传奇戏服务器的注册、登陆等功能,使得服务器运行的传奇游戏内出现大量的假人,影响了正常玩家的登陆和游戏,严重时完全无法登陆。



需要的可以联系我哦

TG : @patford
@cdncloudzhangqiting
微信:cdncloudqiqi
fordfiesta001

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|游戏天空论坛 ( 陕ICP备13009885号 )

GMT+8, 2024-11-27 07:43 , Processed in 0.156250 second(s), 19 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表