拒絕服務攻擊有以下方式:
SYN Foold攻擊:是利用TCP協議的特性發動的,通過發送大量偽造的帶有SYN標志位的TCP報文使目標服務器連接耗盡,達到拒絕服務的目的。通過不停的循環講偽造好的數據包發送 到目的服務器。可以看到目標主機建立了很多虛假的半開連接,這耗費了目標主機大量的 連接資源。可以想象如果成千上萬臺“肉雞”對一臺服務器發動synflood攻擊威力將是非常強大。
ACK FLOOD攻擊:是利用TCP三次握手的缺陷實現的攻擊,攻擊主機偽造海量的虛假ack包發送給目標主機,目標主機每收到一個帶有ack標志位的數據包時,都會去自己的TCP連接表中查看有沒有與ack的發送者建立連接,如果有則發送三次握手的第三段ack+seq完成三次握手,成功建立TCP連接。如果沒有則發送ack+rst斷開連接。但是在這個過程中會消耗一定的CPU計算資源
CC攻擊:CC攻擊的原理是通過代理服務器或者大量“肉雞”模擬多個用戶訪問目標網站的動態頁面,制造大量的后臺數據庫查詢動作,消耗目標CPU資源,造成拒絕服務。 CC攻擊全稱ChallengeCollapsar,中文意思是挑戰黑洞,因為以前的抗DDOS攻擊的安全設備叫黑洞,顧名思義挑戰黑洞就是說黑洞拿這種攻擊沒辦法,新一代的抗DDOS設備已經改名為ADS( Anti-DDoS System),基本上已經可以完美的抵御CC攻擊了。
UDP FLOOD攻擊:UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊顧名思義是利用UDP協議進行攻擊的,UDP FLOOD攻擊可以是小數據包沖擊設備也可以是大數據包阻塞鏈路占盡帶寬。不過兩種方式的實現很相似,差別就在UDP的數據部分帶有多少數據。相比TCP協議的攻擊UDP的攻擊更直接更好理解,有一定規模之后更難防御,因為UDP攻擊的特點就是打出很高的流量。
反射DDOS:很多協議的請求包要遠小于回復包,以一個字節的數據換十個字節的數據回來這就是一種放大,但是你這單純的放大攻擊的是自己,所以說想要攻擊別人就要在發送請求包時把源地址寫成要攻擊的人的地址,這樣回復的大字節報文就去你要攻擊的人那里了。這里放大主要利用的是NTP的monlist(listpeers也行)、DNS的AXFR(ANY也行)、SNMP的getbulkrequest。monlist是返回最近600個與當前NTP服務器通信過的IP地址;AXFR是區域傳送(有地方叫域傳送),比如freebuf.com下的所有域名返回給請求者;SNMPV2版本中新加的getbulkrequest用于一次請求大量的信息,減少管理站與被管理設備的交互次數。
Websocket攻擊:websocket是HTML5一種新的協議,它實現了瀏覽器與服務器全雙工通信(full-duple)。目前主流的瀏覽器都能很好地支持websocket,而且用它實現DOS攻擊也并不是很難,只要在js代碼中寫入相應的代碼,當人們打開這個網頁時瀏覽器會自動執行js代碼去請求連接要攻擊的IP地址。
臨時透鏡攻擊:這種攻擊是一種典型的通過時間延時進行流量放大攻擊的方法。如果攻擊者可以控制多個時間段的多個數據包,讓它們同時到達目標,這樣就能使流量瞬間到達一個峰值,對目標造成很大危害。這個攻擊方式道理不難理解,但是實現起來可是不容易,要讓相同源和目的IP的IP報文走不同的路徑到達目的地,這一點就是要實現臨時透鏡攻擊的關鍵所在,我國的互聯網基本上是由四張網(電信、聯通、移動、教育網)通過互聯互通組成的,任意兩點之間的路徑都能有千千萬萬條,但是怎么才能有我們自己控制報文的路線呢?我想到的第一個辦法就是用IP協議的寬松源路由選項,學過或者平時比較了解TCP/IP的童鞋們可能聽說過這個寬松源路由,但我估計很少有人用。IP數據在傳輸時通常由路由器自動為其選擇路由,但是網絡工程師為了使數據繞開出錯網絡或者為了測試特定線路的吞吐率,需要在信源出控制IP數據報的傳輸路徑,源路由就是為了滿足這個要求設計的。源路由有兩種,一種叫嚴格源路由另一種就是我們要說的寬松源路由。IP選項部分可以最多帶上9個IP地址作為這個數據報要走的路徑,嚴格源路由是每一跳都必須按照指定的路由器去走,但是寬松源路由的不用這么嚴格。我國大部分運營商都禁止了源路由,不過有人說在國外不禁止源路由,國外有服務器的朋友可以去測試一下是不是真的。
慢速DDOS攻擊:一說起慢速攻擊,就要談談它的成名歷史了。HTTP Post慢速DoS攻擊第一次在技術社區被正式披露是2012年的OWASP大會上,由Wong Onn Chee和Tom Brennan共同演示了使用這一技術攻擊的威力。對任何一個開放了HTTP訪問的服務器HTTP服務器,先建立了一個連接,指定一個比較大的content-length,然后以非常低的速度發包,比如1-10s發一個字節,然后維持住這個連接不斷開。如果客戶端持續建立這樣的連接,那么服務器上可用的連接將一點一點被占滿,從而導致拒絕服務。和CC攻擊一樣,只要Web服務器開放了Web服務,那么它就可以是一個靶子,HTTP協議在接收到request之前是不對請求內容作校驗的,所以即使你的Web應用沒有可用的form表單,這個攻擊一樣有效。在客戶端以單線程方式建立較大數量的無用連接,并保持持續發包的代價非常的低廉。實際試驗中一臺普通PC可以建立的連接在3000個以上。這對一臺普通的Web server將是致命的打擊。更不用說結合肉雞群做分布式DoS了。鑒于此攻擊簡單的利用程度、拒絕服務的后果、帶有逃逸特性的攻擊方式,這類攻擊一炮而紅,成為眾多攻擊者的研究和利用對象。發展到今天,慢速攻擊也多種多樣。
ReDoS攻擊:ReDoS(Regular expression Denial of Service)正則表達式拒絕服務攻擊。開發人員使用了正則表達式來對用戶輸入的數據進行有效性校驗,當編寫校驗的正則表達式存在缺陷或者不嚴謹時, 攻擊者可以構造特殊的字符串來大量消耗服務器的系統資源,造成服務器的服務中斷或停止。正則表達式引擎分成兩類,一類稱為DFA(確定性有限狀態自動機),另一類稱為NFA(非確定性有限狀態自動機)。兩類引擎要順利工作,都必須有一個正則式和一個文本串,一個捏在手里,一個吃下去。DFA捏著文本串去比較正則式,看到一個子正則式,就把可能的匹配串全標注出來,然后再看正則式的下一個部分,根據新的匹配結果更新標注。而NFA是捏著正則式去比文本,吃掉一個字符,就把它跟正則式比較,然后接著往下干。一旦不匹配,就把剛吃的這個字符吐出來,一個一個吐,直到回到上一次匹配的地方。
防御該攻擊的辦法有以下這些:
前端代理:我們可為靜態資源準備多個站點做冗余備份,當Service Worker加載資源出錯時,可不返回錯誤給上層頁面,而是繼續從備用站點加載,直到獲得正確結果才返回。這樣,只要有一個備用站點可用,資源就不會加載失敗。
離線訪問:Service Worker 的設計初衷就是為了增強網頁的離線化體驗,因此一旦安裝即可在后臺長期運行,即使服務器關機、瀏覽器重啟,它也不會失效。
免費節點:使用冗余站點雖能提升穩定性,但攻擊者仍可對備用站點發起攻擊,尤其是惡意消耗流量費用的攻擊,導致成本大幅上升。為此,我們還可使用一種更極端的方案使用免費 CDN 作為備用站點,例如 jsdelivr.net、unpkg.com、IPFS Gateway 等等,圖片則可上傳到各大網站的相冊。
接口防御:對于純靜態資源的站點,我們可將所有資源甚至包含 HTML 文件都通過免費 CDN 加速,從而大幅降低成本、增加穩定性。
回答所涉及的環境:聯想天逸510S、Windows 10。
拒絕服務攻擊有以下方式:
SYN Foold攻擊:是利用TCP協議的特性發動的,通過發送大量偽造的帶有SYN標志位的TCP報文使目標服務器連接耗盡,達到拒絕服務的目的。通過不停的循環講偽造好的數據包發送 到目的服務器。可以看到目標主機建立了很多虛假的半開連接,這耗費了目標主機大量的 連接資源。可以想象如果成千上萬臺“肉雞”對一臺服務器發動synflood攻擊威力將是非常強大。
ACK FLOOD攻擊:是利用TCP三次握手的缺陷實現的攻擊,攻擊主機偽造海量的虛假ack包發送給目標主機,目標主機每收到一個帶有ack標志位的數據包時,都會去自己的TCP連接表中查看有沒有與ack的發送者建立連接,如果有則發送三次握手的第三段ack+seq完成三次握手,成功建立TCP連接。如果沒有則發送ack+rst斷開連接。但是在這個過程中會消耗一定的CPU計算資源
CC攻擊:CC攻擊的原理是通過代理服務器或者大量“肉雞”模擬多個用戶訪問目標網站的動態頁面,制造大量的后臺數據庫查詢動作,消耗目標CPU資源,造成拒絕服務。 CC攻擊全稱ChallengeCollapsar,中文意思是挑戰黑洞,因為以前的抗DDOS攻擊的安全設備叫黑洞,顧名思義挑戰黑洞就是說黑洞拿這種攻擊沒辦法,新一代的抗DDOS設備已經改名為ADS( Anti-DDoS System),基本上已經可以完美的抵御CC攻擊了。
UDP FLOOD攻擊:UDP攻擊,又稱UDP洪水攻擊或UDP淹沒攻擊顧名思義是利用UDP協議進行攻擊的,UDP FLOOD攻擊可以是小數據包沖擊設備也可以是大數據包阻塞鏈路占盡帶寬。不過兩種方式的實現很相似,差別就在UDP的數據部分帶有多少數據。相比TCP協議的攻擊UDP的攻擊更直接更好理解,有一定規模之后更難防御,因為UDP攻擊的特點就是打出很高的流量。
反射DDOS:很多協議的請求包要遠小于回復包,以一個字節的數據換十個字節的數據回來這就是一種放大,但是你這單純的放大攻擊的是自己,所以說想要攻擊別人就要在發送請求包時把源地址寫成要攻擊的人的地址,這樣回復的大字節報文就去你要攻擊的人那里了。這里放大主要利用的是NTP的monlist(listpeers也行)、DNS的AXFR(ANY也行)、SNMP的getbulkrequest。monlist是返回最近600個與當前NTP服務器通信過的IP地址;AXFR是區域傳送(有地方叫域傳送),比如freebuf.com下的所有域名返回給請求者;SNMPV2版本中新加的getbulkrequest用于一次請求大量的信息,減少管理站與被管理設備的交互次數。
Websocket攻擊:websocket是HTML5一種新的協議,它實現了瀏覽器與服務器全雙工通信(full-duple)。目前主流的瀏覽器都能很好地支持websocket,而且用它實現DOS攻擊也并不是很難,只要在js代碼中寫入相應的代碼,當人們打開這個網頁時瀏覽器會自動執行js代碼去請求連接要攻擊的IP地址。
臨時透鏡攻擊:這種攻擊是一種典型的通過時間延時進行流量放大攻擊的方法。如果攻擊者可以控制多個時間段的多個數據包,讓它們同時到達目標,這樣就能使流量瞬間到達一個峰值,對目標造成很大危害。這個攻擊方式道理不難理解,但是實現起來可是不容易,要讓相同源和目的IP的IP報文走不同的路徑到達目的地,這一點就是要實現臨時透鏡攻擊的關鍵所在,我國的互聯網基本上是由四張網(電信、聯通、移動、教育網)通過互聯互通組成的,任意兩點之間的路徑都能有千千萬萬條,但是怎么才能有我們自己控制報文的路線呢?我想到的第一個辦法就是用IP協議的寬松源路由選項,學過或者平時比較了解TCP/IP的童鞋們可能聽說過這個寬松源路由,但我估計很少有人用。IP數據在傳輸時通常由路由器自動為其選擇路由,但是網絡工程師為了使數據繞開出錯網絡或者為了測試特定線路的吞吐率,需要在信源出控制IP數據報的傳輸路徑,源路由就是為了滿足這個要求設計的。源路由有兩種,一種叫嚴格源路由另一種就是我們要說的寬松源路由。IP選項部分可以最多帶上9個IP地址作為這個數據報要走的路徑,嚴格源路由是每一跳都必須按照指定的路由器去走,但是寬松源路由的不用這么嚴格。我國大部分運營商都禁止了源路由,不過有人說在國外不禁止源路由,國外有服務器的朋友可以去測試一下是不是真的。
慢速DDOS攻擊:一說起慢速攻擊,就要談談它的成名歷史了。HTTP Post慢速DoS攻擊第一次在技術社區被正式披露是2012年的OWASP大會上,由Wong Onn Chee和Tom Brennan共同演示了使用這一技術攻擊的威力。對任何一個開放了HTTP訪問的服務器HTTP服務器,先建立了一個連接,指定一個比較大的content-length,然后以非常低的速度發包,比如1-10s發一個字節,然后維持住這個連接不斷開。如果客戶端持續建立這樣的連接,那么服務器上可用的連接將一點一點被占滿,從而導致拒絕服務。和CC攻擊一樣,只要Web服務器開放了Web服務,那么它就可以是一個靶子,HTTP協議在接收到request之前是不對請求內容作校驗的,所以即使你的Web應用沒有可用的form表單,這個攻擊一樣有效。在客戶端以單線程方式建立較大數量的無用連接,并保持持續發包的代價非常的低廉。實際試驗中一臺普通PC可以建立的連接在3000個以上。這對一臺普通的Web server將是致命的打擊。更不用說結合肉雞群做分布式DoS了。鑒于此攻擊簡單的利用程度、拒絕服務的后果、帶有逃逸特性的攻擊方式,這類攻擊一炮而紅,成為眾多攻擊者的研究和利用對象。發展到今天,慢速攻擊也多種多樣。
ReDoS攻擊:ReDoS(Regular expression Denial of Service)正則表達式拒絕服務攻擊。開發人員使用了正則表達式來對用戶輸入的數據進行有效性校驗,當編寫校驗的正則表達式存在缺陷或者不嚴謹時, 攻擊者可以構造特殊的字符串來大量消耗服務器的系統資源,造成服務器的服務中斷或停止。正則表達式引擎分成兩類,一類稱為DFA(確定性有限狀態自動機),另一類稱為NFA(非確定性有限狀態自動機)。兩類引擎要順利工作,都必須有一個正則式和一個文本串,一個捏在手里,一個吃下去。DFA捏著文本串去比較正則式,看到一個子正則式,就把可能的匹配串全標注出來,然后再看正則式的下一個部分,根據新的匹配結果更新標注。而NFA是捏著正則式去比文本,吃掉一個字符,就把它跟正則式比較,然后接著往下干。一旦不匹配,就把剛吃的這個字符吐出來,一個一個吐,直到回到上一次匹配的地方。
防御該攻擊的辦法有以下這些:
前端代理:我們可為靜態資源準備多個站點做冗余備份,當Service Worker加載資源出錯時,可不返回錯誤給上層頁面,而是繼續從備用站點加載,直到獲得正確結果才返回。這樣,只要有一個備用站點可用,資源就不會加載失敗。
離線訪問:Service Worker 的設計初衷就是為了增強網頁的離線化體驗,因此一旦安裝即可在后臺長期運行,即使服務器關機、瀏覽器重啟,它也不會失效。
免費節點:使用冗余站點雖能提升穩定性,但攻擊者仍可對備用站點發起攻擊,尤其是惡意消耗流量費用的攻擊,導致成本大幅上升。為此,我們還可使用一種更極端的方案使用免費 CDN 作為備用站點,例如 jsdelivr.net、unpkg.com、IPFS Gateway 等等,圖片則可上傳到各大網站的相冊。
接口防御:對于純靜態資源的站點,我們可將所有資源甚至包含 HTML 文件都通過免費 CDN 加速,從而大幅降低成本、增加穩定性。
回答所涉及的環境:聯想天逸510S、Windows 10。