在互聯(lián)網(wǎng)中一談起DDOS攻擊,人們往往談虎色變。
DDOS攻擊被認(rèn)為是安全領(lǐng)域最難解決的問(wèn)題之一,迄今為止也沒(méi)有一個(gè)完美的解決方案。
各個(gè)互聯(lián)網(wǎng)公司都等著5G時(shí)代的來(lái)臨,等它來(lái)臨分物聯(lián)網(wǎng)領(lǐng)域的一份羹。
當(dāng)物聯(lián)網(wǎng)時(shí)代真正來(lái)臨的時(shí)候,網(wǎng)絡(luò)設(shè)備數(shù)量會(huì)呈指數(shù)性地增長(zhǎng),對(duì)DDOS攻擊的防御確實(shí)帶來(lái)了一個(gè)很大的威脅。
一、DDOS簡(jiǎn)介
DDOS又稱(chēng)為分布式拒絕服務(wù)攻擊,全稱(chēng)是Distributed Denial os Service。
DDOS本是利用合理的請(qǐng)求造成資源過(guò)載,導(dǎo)致服務(wù)不可用。
比如一個(gè)停車(chē)場(chǎng)總共有100個(gè)車(chē)位,當(dāng)100個(gè)車(chē)位都停滿車(chē)后,再有車(chē)想要停進(jìn)來(lái),就必須等已有的車(chē)先出去才行。
如果已有的車(chē)一直不出去,那么停車(chē)場(chǎng)的入口就會(huì)排起長(zhǎng)隊(duì),停車(chē)場(chǎng)的負(fù)荷過(guò)載,不能正常工作了,這種情況就是“拒絕服務(wù)”。
我們的系統(tǒng)就好比是停車(chē)場(chǎng),系統(tǒng)中的資源就是車(chē)位,資源是有限的,而服務(wù)必須一直提供下去。
如果資源都已經(jīng)被占用了,那么服務(wù)也將過(guò)載,導(dǎo)致系統(tǒng)停止新的響應(yīng)。
分布式拒絕服務(wù)攻擊,將正常請(qǐng)求放大了若干倍,通過(guò)若干網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)發(fā)起攻擊,以達(dá)成規(guī)模響應(yīng)。
這些網(wǎng)絡(luò)節(jié)點(diǎn)往往是黑客們所控制的“肉雞”,數(shù)量達(dá)到一定規(guī)模后,就形成了一個(gè)“僵尸網(wǎng)絡(luò)”。
大型的僵尸網(wǎng)絡(luò),甚至達(dá)到了數(shù)萬(wàn)、數(shù)十萬(wàn)臺(tái)的規(guī)模,如此規(guī)模的僵尸網(wǎng)絡(luò)發(fā)起的DDOS攻擊,幾乎是不可阻擋的。
常見(jiàn)的DDOS攻擊有SYN flood、UDP flood、ICMP flood等。
其中SYN flood是一種最為經(jīng)典的DDOS攻擊,其發(fā)現(xiàn)于1996年,但是至今仍然保持著非常強(qiáng)大的生命力。
SYN flood如此猖獗是因?yàn)樗昧薚CP協(xié)議設(shè)計(jì)中的缺陷,而TCP/IP協(xié)議是整個(gè)互聯(lián)網(wǎng)的基礎(chǔ),牽一發(fā)而動(dòng)全身,如今想要修復(fù)這樣的缺陷幾乎成為不可能的事情。
在正常情況下,TCP三次握手過(guò)程如下:
(1)客戶端向服務(wù)器發(fā)送一個(gè)SYN包,包含客戶端使用的端口號(hào)和初始序列號(hào)x
(2)服務(wù)器端收到客戶端發(fā)送來(lái)的SYN包后,向客戶端發(fā)送一個(gè)SYN和ACK都置位的TCP報(bào)文,包含確認(rèn)號(hào)x+1和服務(wù)器端的初始序列號(hào)y;
(3)客戶端收到服務(wù)器端返回的SYN+ACK報(bào)文后,向服務(wù)器端返回一個(gè)確認(rèn)號(hào)為y+1、序號(hào)為x+1的ACK報(bào)文,一個(gè)標(biāo)準(zhǔn)的TCP連接完成。
而SYN flood在攻擊時(shí),首先偽造大量的源IP地址,分別向服務(wù)器端發(fā)送大量的SYN包,此時(shí)服務(wù)器端會(huì)返回SYN/ACK包,因?yàn)樵吹刂窌r(shí)偽造的,所以偽造的IP并不會(huì)應(yīng)答,服務(wù)器端沒(méi)有收到偽造IP的回應(yīng),會(huì)重試3-5次并且等待一個(gè)SYN Time(一般為30秒至2分鐘),如果超時(shí)則丟棄這個(gè)連接。
攻擊者大量發(fā)送這種偽造源地址的SYN請(qǐng)求,服務(wù)端將會(huì)消耗非常多的資源(CPU和內(nèi)存)來(lái)處理這種半連接,同時(shí)還要不斷地對(duì)這些IP進(jìn)行SYN+ACK重試,最后的結(jié)果是服務(wù)器無(wú)暇理睬正常的連接請(qǐng)求,導(dǎo)致拒絕服務(wù)。
對(duì)抗SYN flood的主要措施有SYN Cookie/SYN Proxy、safereset等算法。
SYN Cookie的主要思想是為每一個(gè)IP地址分配一個(gè)“Cookie”,并統(tǒng)計(jì)每個(gè)IP地址的訪問(wèn)頻率。
如果在短時(shí)間內(nèi)收到大量的來(lái)自同一個(gè)IP地址數(shù)據(jù)包,則認(rèn)為受到攻擊,之后來(lái)自這個(gè)IP地址的包將被丟棄。
在很多對(duì)抗DDOS的產(chǎn)品中,一般會(huì)綜合使用各種算法,結(jié)合一些DDOS攻擊的特征,對(duì)流量就行清洗,對(duì)抗DDOS的網(wǎng)絡(luò)設(shè)備可以串聯(lián)或者并聯(lián)在網(wǎng)絡(luò)出口處。
但是DDOS仍然是業(yè)界的一大難題,當(dāng)攻擊流量超過(guò)了網(wǎng)絡(luò)設(shè)備,甚至帶寬的最大負(fù)荷時(shí),網(wǎng)絡(luò)仍將癱瘓。
一般來(lái)說(shuō),大型網(wǎng)站之所以看起來(lái)比較能“抗”DDOS攻擊,是因?yàn)榇笮途W(wǎng)站的帶寬比較充足,集群內(nèi)服務(wù)器的數(shù)量也比較多。
但一個(gè)集群的資源畢竟是有限的,在實(shí)際的攻擊中,DDOS的流量甚至可以達(dá)到數(shù)G到幾十G,遇到這種情況,只能與網(wǎng)絡(luò)運(yùn)營(yíng)商合作,共同完成DDOS攻擊的響應(yīng)。
新聞標(biāo)題:什么是DDOS攻擊?
瀏覽地址:http://jinyejixie.com/hangye/fwqtg/n8104.html
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)