前言
阻斷服務攻擊(denial-of-service attack,簡稱DoS攻擊)是一種網路攻擊手段,旨在耗盡目標電腦的網路或系統資源,從而使服務暫時中斷或停止,導致正常使用者無法訪問。
分散式阻斷服務攻擊(Distributed Denial-of-Service,簡稱DDoS攻擊)是一種惡意的網路攻擊手段,其目的是耗盡目標電腦的網路或系統資源,導致服務暫時中斷或停止,從而使網站無法正常訪問、使用或運行。此類攻擊常見於同業競爭、資料竊取或勒索事件,特別是金融保險和貿易銷售等行業成為主要攻擊目標。
這兩者是常見的網路攻擊的模式。
阻斷服務攻擊
DoS最常在現在某些網路遊戲中,通常被不滿的玩家或競爭對手頻繁使用。此外,DoS攻擊還常被作為抗議手段,自由軟體基金會創辦人理察·斯托曼曾稱其為「網路街頭抗議」的一種形式。
美國國土安全部旗下的美國電腦緊急應變小組(US-CERT)阻斷服務攻擊症狀的定義包括:
阻斷服務攻擊不僅會影響目標電腦,還可能波及同一網路中的其他設備。這類攻擊會大量消耗網際網路和區域網路之間的頻寬,導致區域網路中的其他電腦也受到影響。如果攻擊規模足夠大,甚至可能影響整個地區的網路連接。
攻擊方式
DoS攻擊可分為三種主要形式:頻寬消耗型、資源消耗型和漏洞觸發型。前兩種形式通過大量合法或偽造的請求,占用網路和設備資源,進而癱瘓網路和系統。而漏洞觸發型攻擊則利用系統漏洞,導致系統崩潰並癱瘓服務。
頻寬消耗型
DDoS頻寬消耗攻擊可分為兩種層次:洪泛攻擊和放大攻擊。洪泛攻擊的特點是利用殭屍程式向受害者系統傳送大量流量,意圖堵塞其頻寬。放大攻擊則是通過惡意增加流量來限制受害者系統的頻寬。具體而言,攻擊者利用殭屍程式,通過偽造的源IP(即攻擊目標IP)向存在漏洞的伺服器發送請求,伺服器在處理這些請求後將應答發送至偽造的源IP。由於這些服務的特殊性,應答包的大小遠超請求包,因此僅需少量頻寬就能使伺服器向目標主機傳送大量應答,從而達到攻擊目的。
資源消耗型
資訊消耗型有很多攻擊方式,例如說:LAND攻擊、協定分析攻擊、CC攻擊、殭屍網路攻擊、應用程式級洪水攻擊。
以LAND攻擊當例子:
這種攻擊方式與SYN floods相似,但在LAND攻擊中,數據包的源地址和目標地址都是攻擊對象的IP。這會導致被攻擊的機器進入無限迴圈,最終耗盡資源並導致系統當機。
SYN floods是傳送控制協定(TCP)同步(SYN)攻擊是一種網路攻擊手段。TCP通信通常需要在封包傳送之前,傳送方與接收方之間進行完整的訊號交換。首先,啟動系統會發送一個SYN請求,接收系統則會返回一個帶有自身SYN請求的ACK(確認)訊息作為回應。隨後,傳送方再回傳一個ACK來建立兩個系統之間的通信。如果接收系統發送了SYN封包但未接收到ACK,它會在一段時間後重新發送SYN封包。在這段時間內,接收系統的處理器和主記憶體資源會儲存該TCP SYN請求,直到逾時為止。
DDoS TCP SYN攻擊,也被稱為「資源耗盡攻擊」,正是利用了TCP的這一特性。攻擊者通過殭屍程式發送偽造的TCP SYN請求給受害伺服器,導致伺服器的處理器資源被大量消耗,無法有效處理合法請求。這種攻擊專門利用了傳送方與接收方之間的三向訊號交換,向受害系統發送大量偽造原IP位址的TCP SYN封包。最終,這些重複的TCP SYN攻擊請求會耗盡受害系統的主記憶體和處理器資源,導致系統無法處理任何合法使用者的請求。
漏洞觸發型
這種攻擊手法試圖觸發緩衝區溢位等漏洞,導致作業系統出現核心錯誤或藍白畫面當機,從而實現阻斷服務攻擊的目的。
常見的有
防禦方式
阻斷服務攻擊的防禦方式通常為入侵檢測(類似Detection),流量過濾和多重驗證,旨在堵塞網路頻寬的流量將被過濾,而正常的流量可正常通過。
方式有:
資料來源