DDOS(分布式拒絕服務(wù))攻防實(shí)戰(zhàn)演練
用戶對(duì)于這個(gè)話題似乎已經(jīng)不再陌生,在當(dāng)今的網(wǎng)絡(luò)當(dāng)中用戶能夠經(jīng)常聽(tīng)見(jiàn)此類事件的發(fā)生,比如說(shuō)二個(gè)月前的唐山黑客事件中,所利用的黑客技術(shù)就是DDOS攻擊。這種攻擊方法的可怕之處是會(huì)造成用戶無(wú)法對(duì)外進(jìn)行提供服務(wù),時(shí)間一長(zhǎng)將會(huì)影響到網(wǎng)絡(luò)流量,造成用戶經(jīng)濟(jì)上的嚴(yán)重?fù)p失。造成這種類型攻擊的最主要原因就是商業(yè)競(jìng)爭(zhēng)、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素,從實(shí)際情況來(lái)說(shuō)DDOS是不可能完全防范的,不過(guò)用戶必須要從最大程度上做好防范DDOS攻擊的措施,使用戶在遭受DDOS攻擊后的損失減至最低。
DOS是英文Denial of Service的縮寫(xiě),意為“拒絕服務(wù)攻擊”,DDOS是英文Distributed Denial of Service的縮寫(xiě),意為“分布式拒絕服務(wù)攻擊”。那么什么要叫做拒絕服務(wù)呢?可以這么理解,凡是能導(dǎo)致合法用戶不能夠訪問(wèn)正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說(shuō)拒絕服務(wù)攻擊的目的非常明確,就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問(wèn),從而達(dá)成攻擊者不可告人的目的。可以說(shuō)DOS是DDOS的前身,為了能夠使其具有更高的攻擊效率,從而就產(chǎn)生了這種分布式拒絕服務(wù)攻擊,也就是用戶通常所說(shuō)的DDOS攻擊。但是DDOS和DOS還是有所不同,DDOS的攻擊策略側(cè)重于通過(guò)很多“僵尸主機(jī)”(被攻擊者入侵過(guò)或可間接利用的主機(jī))向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù),分布式拒絕服務(wù)攻擊一旦被實(shí)施,攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī),從而把合法用戶的網(wǎng)絡(luò)包淹沒(méi),導(dǎo)致合法用戶無(wú)法正常訪問(wèn)服務(wù)器的網(wǎng)絡(luò)資源。
DDOS的表現(xiàn)形式主要有兩種,一種為流量攻擊,主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞,合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)。另一種為資源耗盡攻擊,主要是針對(duì)服務(wù)器主機(jī)的攻擊,即通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。
如何判斷網(wǎng)站是否遭受了流量攻擊呢?可通過(guò)Ping命令來(lái)測(cè)試,若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重(假定平時(shí)是正常的),則可能遭受了流量攻擊,此時(shí)若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問(wèn)不了了,基本可以確定是遭受了流量攻擊。當(dāng)然,這樣測(cè)試的前提是你到服務(wù)器主機(jī)之間的ICMP協(xié)議沒(méi)有被路由器和防火墻等設(shè)備屏蔽,否則可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來(lái)測(cè)試,效果是一樣的。不過(guò)有一點(diǎn)可以肯定,假如平時(shí)Ping你的主機(jī)服務(wù)器和接在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的,突然都Ping不通了或者是嚴(yán)重丟包,那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊,再一個(gè)流量攻擊的典型現(xiàn)象是,一旦遭受流量攻擊,會(huì)發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會(huì)失敗。
相對(duì)于流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時(shí)Ping網(wǎng)站主機(jī)和訪問(wèn)網(wǎng)站都是正常的,發(fā)現(xiàn)突然網(wǎng)站訪問(wèn)非常緩慢或無(wú)法訪問(wèn)了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時(shí)若在服務(wù)器上用Netstat -an命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是,Ping自己的網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重,而Ping與自己的主機(jī)在同一交換機(jī)上的服務(wù)器則正常,造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無(wú)法回應(yīng)Ping命令,其實(shí)帶寬還是有的,否則就Ping不通接在同一交換機(jī)上的主機(jī)了。
【編輯推薦】
