什麼是DDOS流量攻擊?我們大多數人第一眼看到這個DDOS就覺得是英文的,有點難度,畢竟是國外的,其實簡單通俗來講,DDOS攻擊是利用帶寬的流量來攻擊伺服器以及網站。
舉個例子,伺服器目前帶寬是100M,突然從外邊來了200M的帶寬流量進來,那麼伺服器根本承載不了這個200M的帶寬流量,伺服器的網絡瞬間就會癱瘓,導緻伺服器無法連接配接,甚至導緻伺服器裡的網站都無法打開,因為200M的帶寬流量,已經占滿了整個伺服器的100M帶寬。
再舉一個更貼切于生活的例子:一家飯店,正常情況下最多能承載100個人吃飯,因為同行競争,對面飯店老闆雇傭了200個社會小混混去飯店吃飯,導緻飯店滿客,無法再接納正常的客人來飯店吃飯了。這就是DDOS攻擊,利用流量去占滿伺服器的帶寬,導緻沒有多餘的帶寬來提供使用者的網站通路。
DDOS流量攻擊分很多種,有UDP-flood流量攻擊,TCP-flood流量攻擊,ICMP-flood流量攻擊TCP/UPD/ICMP分片式流量攻擊,SYN-flood流量攻擊,ACK-flood流量攻擊,zeroWindow攻擊,SSL-flood攻擊,SSLkeyrenego攻擊,DNS反射性放大流量攻擊,NTS反射,NTP反射,SNMP反射,SSDP反射,Chargen反射。
UDP-flood是屬于UDP協定中的一種流量攻擊,攻擊特征是僞造大量的真實IP并發送小數量的資料包對要攻擊的伺服器進行發送,隻要伺服器開啟UDP的端口就會受到流量攻擊。如何防禦這種流量攻擊,對UDP的包資料大小進行設定,嚴格把控發送的資料包大小,超過一定值的資料包進行丢棄,再一個防禦的方法是隻有建立了TCP連結的IP,才能發送UDP包,否則直接屏蔽該IP。
ICMP是利用ICMP協定對伺服器進行PING的攻擊,放大icmp的長度,以及資料包的位元組對伺服器進行攻擊。TCP-flood攻擊是一種使用tcp三次握手協定的一種方式來進行的攻擊,攻擊特種是僞造大量的真實IP去連接配接要攻擊的伺服器,導緻伺服器無法承載更多的TCP連接配接而導緻伺服器癱瘓。
SYN-Flood是利用SYN協定,用戶端協定上發送SYN資料,伺服器接收到并響應SYN以及ACK反映,攻擊者利用這個方式去模拟大量的客戶連接配接發送資料包,導緻伺服器癱瘓。
ACK-Flood的攻擊跟上面這個SYN的攻擊差不多,都是同樣采用發送資料包到伺服器端去,攻擊者利用ACK資料包進行攻擊,隻要伺服器接受ACK的包,那麼就會造成ACK連接配接過多導緻伺服器資源耗盡,伺服器沒有多餘的資源來接收ACK的包,伺服器就無法打開了。
SSL-Flood是利用用戶端不斷的與SSL通道握手,SSL的資源比普通的使用者通路HTTP網站消耗的資源還要多,會多出幾十倍,配置低的伺服器根本無法承載SSL的多次請求與握手,導緻伺服器的CPU占用到百分之90,沒有多餘的CPU去處理使用者的通路。SSL流量攻擊如何防禦:禁用Renegotiating的安全機制來防禦大量的SSL流量攻擊。
反射放大性流量攻擊
反射性的攻擊,不管是DNS反射還是NTP反射,都是使用的UDP協定攻擊,UDP協定裡通路使用者發送請求的資料包到伺服器,伺服器再回報給使用者端,那麼使用者端發送到伺服器裡的請求資料包裡,使用者的IP可以進行僞造,可以僞造成伺服器的IP,伺服器IP發送資料包到伺服器IP裡,這樣就造成了反射攻擊。
DNS反射攻擊也是一樣的道理,利用DNS伺服器的解析進行攻擊,僞造要攻擊的伺服器IP,進行DNS查詢,并查詢到DNS伺服器裡,DNS伺服器傳回資料包到要攻擊的伺服器IP中去,一來一去形成了反射流量攻擊。