解析拒絕服務攻擊的攻擊技術
DoS即Denial Of Service,拒絕服務的縮寫。DoS是指故意攻擊網絡協議實現的缺陷,或直接通過野蠻手段耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中并不包括侵入目標服務器或目標網絡設備。
這些服務資源包括網絡帶寬、文件系統空間容量、開放的進程或者允許的連接。這種攻擊會導致資源匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。
事實上,任何事物都有一個極限,所以總能找到一個方法使請求的值大于該極限值,因此就會故意導致所提供的服務資源匱乏,導致服務資源無法滿足需求的情況。所以,千萬不要認為擁有了足夠寬的帶寬和足夠快的服務器就有了一個不怕拒絕服務攻擊的高性能網站,拒絕服務攻擊會使所有的資源都變得非常渺小。
其實,有個形象的比喻可以深入理解DoS。街頭的餐館是為大眾提供餐飲服務,如果一群地痞流氓要對餐館進行拒絕服務攻擊的話,手段會很多,比如霸占著餐桌不結賬,堵住餐館的大門不讓路,騷擾餐館的服務員或廚子不能干活,甚至更惡劣……;相應地,計算機和網絡系統是為互聯網用戶提供互聯網資源的,如果有黑客要進行拒絕服務攻擊的話,則同樣有好多手段!
今天最常見的拒絕服務攻擊包括對計算機網絡的帶寬攻擊和連通性攻擊。帶寬攻擊是指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最后導致合法的用戶請求無法通過。連通性攻擊是指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
傳統上,攻擊者所面臨的主要問題是網絡帶寬,由于較小的網絡規模和較慢的網絡速度限制,攻擊者無法發出過多的請求。雖然類似“the ping of death”的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統,但大多數的DoS攻擊還是需要相當大帶寬的,而以個人為單位的黑客們很難使用高帶寬的資源。為了克服這個缺點,DoS攻擊者開發了分布式的攻擊。攻擊者簡單利用工具集合許多的網絡帶寬來同時對同一個目標發動大量的攻擊請求,這就是DDoS攻擊。
DDoS(Distributed Denial Of Service),分布式拒絕服務攻擊,又把DoS向前發展了一大步,這種分布式拒絕服務攻擊是黑客利用在已經侵入并已控制的不同的高帶寬主機(可能是數百,甚至成千上萬臺)上安裝大量的DoS服務程序,它們等待來自中央攻擊控制中心的命令,中央攻擊控制中心在適時將啟動全體受控主機的DoS服務進程,讓它們對一個特定目標發送盡可能多的網絡訪問請求,形成一股DoS洪流沖擊目標系統,猛烈的DoS攻擊同一個網站。在寡不敵眾的力量抗衡下,被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統癱瘓崩潰。
可見DDoS與DoS的最大區別是人多力量大。DoS是一臺機器攻擊目標,DDoS是被中央攻擊中心控制的很多臺機器利用高帶寬攻擊目標,可更容易地將目標攻下。另外,DDoS攻擊方式較為自動化,攻擊者可以將程序安裝到網絡中的多臺機器上,所采用的這種攻擊方式很難被攻擊對象察覺,直到攻擊者發下統一的攻擊命令,這些機器才同時發起進攻。
可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,現在這種方式被認為是最有效的攻擊形式,并且非常難以抵擋。
無論是DoS攻擊還是DDoS攻擊,簡單地看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。
其具體表現方式有以下幾種:
(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信;
(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻地發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其他正常的請求;
(3)利用被攻擊主機所提供服務程序或傳輸協議的本身缺陷,反復發送畸形的攻擊數據引發系統錯誤地分配大量系統資源,使主機處于掛起狀態甚至死機。
【編輯推薦】
