資源描述:
《變異DDOS攻擊方式的攻擊防范探析》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1���、變異DDOS攻擊方式的攻擊防范探析本文首先介紹了網(wǎng)絡(luò)攻擊對(duì)目詢網(wǎng)絡(luò)安全的影響及分布式拒絕服務(wù)攻擊的工作原理和現(xiàn)狀,接著分析了分布式拒絕服務(wù)的攻擊類型,并探析新型攻擊類型的核心技術(shù)和防范對(duì)策。將新型的DDOS的3類攻擊方式:基于堵流量的攻擊方式�、基于網(wǎng)站腳本的攻擊方式��、另類攻擊方式進(jìn)行了探析����,最后給出攻擊方式相應(yīng)的安全策略和防御對(duì)策。一����、背景隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,人們的生活和工作已經(jīng)同它密不可分�,人們?cè)谙硎苄畔⒓夹g(shù)所帶來便捷的同吋,也遭受著各類網(wǎng)絡(luò)信息被黑客惡意攻擊�、信息被竊取等不同形式的網(wǎng)絡(luò)攻擊,
2�����、并這種攻擊變得越來越嚴(yán)重�。網(wǎng)絡(luò)上的惡意攻擊實(shí)際上就是尋找一切可能存在的網(wǎng)絡(luò)安全缺陷來達(dá)到對(duì)系統(tǒng)及資源的損害���,從而達(dá)到惡意的目的��。分布式拒絕服務(wù)攻擊(以下稱DDOS)就是從1996年出現(xiàn)���,在中國2002年開始頻繁出現(xiàn)的一種攻擊方式����。分彳j式拒絕服務(wù)攻擊(DDOS全名是Distribut?edDenialofservice),DDOS攻擊于?段是在傳統(tǒng)的DoS攻擊基礎(chǔ)Z上產(chǎn)生的一類攻擊方式。單一的DOS攻擊一燉是采用一對(duì)一方式的����,當(dāng)攻擊目標(biāo)CPU速度低�����、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效
3��、果是明顯的����。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展�,計(jì)算機(jī)的處理能力迅速增長�����,內(nèi)存人人增加,同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)�����,這使得DOS攻擊的困難程度加大了��,目標(biāo)對(duì)惡意攻擊包的“消化能力”加強(qiáng)了不少���,例如:你的攻擊軟件每秒鐘可以發(fā)送4000個(gè)攻擊包,但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理20000個(gè)攻擊包,這樣一來攻擊就不會(huì)產(chǎn)牛什么效果���。分布式拒絕服務(wù)攻擊使用了分布式客戶服務(wù)器功能���,加密技術(shù)及其它類的功能��,它能被用于控制任意數(shù)量的遠(yuǎn)程機(jī)器���,以產(chǎn)生隨機(jī)匿名的拒絕服務(wù)攻擊和遠(yuǎn)程訪問��。為了有效防范網(wǎng)絡(luò)入侵和攻擊,就必須熟
4����、悉網(wǎng)絡(luò)入侵和攻擊的手段和原理,在此棊礎(chǔ)上才能制定行Z冇效的防范對(duì)策和防御措施����,從而確保網(wǎng)絡(luò)倍息的安全����。二���、DDOS攻擊的現(xiàn)象及攻擊方式目麗防火墻技術(shù)、性能的提升����、計(jì)算機(jī)安全檢測(cè)方式的多樣化��、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的不斷優(yōu)化,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性能得到了一定程度的提升��。傳統(tǒng)的DOS攻擊已經(jīng)很難起到多人的效果���。2011年5月30H,美國政府表示����,已經(jīng)向全球最大軍火商洛克希德?馬丁公司(以下簡稱“洛馬”)提供幫助��,克服網(wǎng)絡(luò)攻擊帶來的負(fù)面影響�。洛馬5刀21口宣布,該公司的計(jì)算機(jī)網(wǎng)絡(luò)持續(xù)遭遇“猛烈攻擊”��。美國國土
5�����、安全部的一名發(fā)言人稱,該部及國防部己經(jīng)了解洛馬遭遇網(wǎng)絡(luò)攻擊�����,并向該公司提供幫助��。網(wǎng)絡(luò)女全使們每時(shí)每刻都關(guān)心的問題�����,因?yàn)槲覀兊纳钜呀?jīng)與它有越來越多的交集�����。被DDOS攻擊時(shí)的現(xiàn)象是能瞬間造成對(duì)方電腦死機(jī)或者假死,我曾經(jīng)測(cè)試過�����,攻擊不到1秒鐘,電腦就已經(jīng)死機(jī)和假死����,鼠標(biāo)圖標(biāo)不動(dòng)了,系統(tǒng)發(fā)出滴滴滴滴的聲音����,主要攻擊方式包括:TCP全連接攻擊、SYN變種攻擊����、TCP混亂數(shù)據(jù)包攻擊、針對(duì)用UDP協(xié)議的攻擊��、針對(duì)WEBServer的多連接攻擊及變種攻擊��、針對(duì)游戲服務(wù)器的攻擊���。新型的DDOS攻擊方式人致分為3
6��、類:基于堵流量的攻擊方式��、基于網(wǎng)站腳本的攻擊方式����、另類攻擊方式。為便于說明�����,以下特別以寄信者(攻擊者)一郵局(硬件防火墻)—收信者(服務(wù)器)作為事例輔助說明��。(一)基于堵流量的攻擊方式這類攻擊方式傷人先傷己,犧牲白己的帶寬流量去堵別人的帶寬流量����,造成他人無法訪問�。就好彖某個(gè)寄信者通過郵局給你寄了數(shù)量極其龐大的垃圾信件����,而收件者的信箱容量是有限的�����,從而導(dǎo)致收信者的信箱被塞滿����,其他的正常信件無法投遞過來。1.SYN變種攻擊模式這種攻擊方式發(fā)送偽造源IP的SYN數(shù)據(jù)包,與傳統(tǒng)的SYN攻擊不同的是��,它的
7��、數(shù)據(jù)包不是過去的六十四字節(jié)����,而是多達(dá)上千字節(jié)����,這樣的攻擊方式會(huì)造成一些防火墻處理錯(cuò)誤進(jìn)1佃導(dǎo)致鎖死�����,在消耗掉服務(wù)器CPU和內(nèi)存的同時(shí)還會(huì)阻塞網(wǎng)絡(luò)帶寬�����。除此Z外���,還可以通過發(fā)送偽造源IP的TCP數(shù)據(jù)包,并且在TCP頭的TCP標(biāo)志位進(jìn)行隨機(jī)設(shè)置�����,造成其標(biāo)志位的混亂����。而再強(qiáng)大的防火墻的數(shù)據(jù)吞吐量也是有限的,因此在這樣的攻擊方式而前�,防火墻常常無計(jì)可施�����。2.TCP并發(fā)攻擊模式每臺(tái)電腦的套接字?jǐn)?shù)量都是有限的�����,Windows規(guī)定每個(gè)應(yīng)用程序最人使用的套接字?jǐn)?shù)量是1024個(gè)����。這種攻擊方式就是利用了Window
8���、s的這一特性����,在如時(shí)間內(nèi)不斷對(duì)冃標(biāo)主機(jī)的特定端口創(chuàng)建TCP連接,消耗其套接字資源����,直到其用盡為止。這樣也就導(dǎo)致此端口無法正常提供服務(wù)了����。這種攻擊是為了繞過常規(guī)防火墻的檢杳而設(shè)計(jì)的���,因?yàn)槌R?guī)的防火墻人多具備如SYN�、UDP�����、ICMP等傳統(tǒng)的DDOS攻擊的防御過濾功能��,但對(duì)于止常的TCP連接是放過的��。3.分布式反射拒絕服務(wù)攻擊(DRDOS)DRDOS是英文"DistributedReflectionDenialofServieAttackn的縮寫����。根據(jù)TCP三次握手的規(guī)則���,一臺(tái)主機(jī)向另外一臺(tái)冃標(biāo)主機(jī)
