文档分类：
下载后只包含 1 个 DOCX 格式的文档，没有任何的图纸或源代码，
下载前请先预览，预览内容跟原文是一样的，在线预览图片经过高度压缩，下载原文更清晰。
您的浏览器不支持进度条
淘豆网网友近日为您收集整理了关于DDoS攻击原理及防护方法论(图)的文档，希望对您的工作和学习有所帮助。以下是文档介绍：DDoS攻击原理及防护方法论(图)安全中国:0:21:33责任编辑:夏宜热点:从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS***,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,掌握的数据表明,最高时达到了12G,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是:利用DDoS攻击手段敲诈***已经形成了一条完整的产业链!并且,攻击者实施成本极低,在网上可以随便搜索到一大堆攻击脚本、工具工具,对攻击者的技术要求也越来越低。相反的是,专业抗DDoS设备的价格十分昂贵,而且对于攻击源的追查难度极大,防护成本远远大于攻击成本。本文将对DDoS攻击的原理做一个剖析,并提供一些解决方法。一.DDoS攻击什么是DDoS?DDoS是英文DistributedDenialof?Service的缩写,意即&分布式拒绝服务&,DDoS的中文名叫分布式拒绝服务攻击,俗称***。首先,我们来了解一下相关定义。?服务:系统提供的,用户在对其使用中会受益的功能?拒绝服务:任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。?拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使得服务质量降低分布式拒绝服务攻击:处于不同位置的多个攻击者同时向一个或者数个目标发起攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。图?如图所示,DDoS攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。这种攻击大多数是由黑客非法控制的电脑实施的。黑客非法控制一些电脑之后,把这些电脑转变为由地下网络远程控制的“bots”,然后用这些电脑实施DDoS攻击。黑客还以每台为单位,低价出租这些用于攻击的电脑,真正拥有这些电脑的主人并不知道自己的计算机已经被用来攻击别人。由于有数百万台电脑现在已经被黑客变成了“bots”,因此这种攻击将非常猛烈。被DDoS攻击时的现象:?网络中充斥着大量的无用的数据包;?制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;?利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求;严重时会造成系统死机。由于网络层的拒绝服务攻击有的利用了网络协议的漏洞,有的则抢占网络或者设备有限的处理能力,使得对拒绝服务攻击的防治成为了一个令管理员非常头痛的问题。尤其是目前在大多数的网络环境骨干线路上普遍使用的防火墙、负载均衡等设备,在发生DDoS攻击的时候往往成为整个网络的瓶颈,造成全网的瘫痪。二.数据包结构要了解DDoS的攻击原理,就要首先了解一下数据包的结构,才能知根知底,追本溯源。首先来回顾一下数据包的结构。2.1IP报文结构图2.2TCP报文结构图?一个TCP报头的标识(codebits)字段包含6个标志位:?SYN:标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接?FIN:表示发送端已经没有数据要求传输了,希望释放连接。?RST:用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。?URG:为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。?ACK:为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。PSH:如果置位,接收端应尽快把数据传送给应用层,不必等缓冲区满再发送。2.3UDP报文结构图2.4ICMP报文结构图图三.DDoS攻击方式3.1SYNFlood攻击SYN-Flood攻击是当前网络上最为常见的DDoS攻击,也是最为经典的拒绝服务攻击,它利用了TCP协议实现上的一个缺陷,通过向网络服务所在端口发送大量的伪造源地址的攻击报文,就可能造成目标服务器中的半开连接队列被占满,从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现,但至今仍然显示出强大的生命力。很多操作系统,甚至防火墙、路由器都无法有效地防御这种攻击,而且由于它可以方便地伪造源地址,追查起来非常困难。它的数据包特征通常是,源发送了大量的SYN包,并且缺少三次握手的最后一步握手ACK回复。3.1.1原理例如,攻击者首先伪造地址对服务器发起SYN请求(我可以建立连接吗?),服务器就会回应一个ACK+SYN(可以+请确认)。而真实的IP会认为,我没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYNTime(一般30秒-2分钟)后,丢弃这个连接。如果攻击者大量发送这种伪造源地址的SYN请求,服务器端将会消耗非常多的资源来处理这种半连接,保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。最后的结果是服务器无暇理睬正常的连接请求--拒绝服务。stat-an命令查看SYN_RECV状态的话,就可以看到:图如果我们抓包来看:图可以看到大量的SYN包没有ACK回应。3.1.2SYNFlood防护?目前市面上有些防火墙具有SYN?Proxy功能,这种方法一般是定每秒通过指定对象(目标地址和端口、仅目标地址或仅源地址)的SYN片段数的阀值,当来自相同源地址或发往相同目标地址的SYN片段数达到这些阀值之一时,防火墙就开始截取连接请求和代理回复SYN/ACK片段,并将不完全的连接请求存储到连接队列中直到连接完成或请求超时。当防火墙中代理连接的队列被填满时,防火墙拒绝来自相同安全区域(zone)中所有地址的新SYN片段,避免网络主机遭受不完整的三次握手的攻击。但是,这种方法在攻击流量较大的时候,连接出现较大的延迟,网络的负载较高,很多情况下反而成为整个网络的瓶颈;?RandomDrop:随机丢包的方式虽然可以减轻服务器的负载,但是正常连接的成功率也会降低很多;?特征匹配:IPS上会常用的手段,在攻击发生的当时统计攻击报文的特征,定义特征库,例如过滤不带TCPOptions的syn包等;早期攻击工具(例如synkiller,xdos,hgod等)通常是发送64字节的TCPSYN报文,而主机操作系统在发起TCP连接请求时发送SYN报文是大于64字节的。因此可以在关键节点上设置策略过滤64字节的TCPSYN报文,某些宣传具有防护SYNFlood攻击的产品就是这么做的。随着工具的改进,发出的TCPSYN报文完全模拟常见的通用操作系统,并且IP头和TCP头的字段完全随机,这时就无法在设备上根据特定的规则来过滤攻击报文。这时就需要根据经验判断IP包头里TTL值不合理的数据包并阻断,但这种手工的方法成本高、效率低。SYNCookie:就是给每一个请求连接的IP地址分配一个Cookie,如1播放器加载中，请稍候...
该用户其他文档
下载所得到的文件列表DDoS攻击原理及防护方法论(图).docx
文档介绍：
DDoS攻击原理及防护方法论(图)安全中国:0:21:33责任编辑:夏宜热点:从07年的爱沙尼亚DDoS信息战,到今年广西南宁30个网吧遭受到DDoS***,再到新浪网遭受DDoS攻击无法提供对外服务500多分钟。DDoS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,掌握的数据表明,最高时达到了12G,这样流量,甚至连专业的机房都无法抵挡。更为严峻的是:利用DDoS攻击手段敲诈***已经形成了一条完整的产业链!并且,攻击者实施成本极低,在网上可以随便搜索到一大堆攻击脚本、工具工具,对攻击者的技术要求也越来越低。相反的是,专业抗DDoS设备的价格十分昂贵,而且对于攻击源的追查难度极大,防护成本远远大于攻击成本。本文将对DDoS攻击的原理做一个剖析,并提供一些解决方法。一.DDoS攻击什么是DDoS?DDoS是英文DistributedDenialof?Service的缩写,意即&分布式拒绝服务&,DDoS的中文名叫分布式拒绝服务攻击,俗称***。首先,我们来了解一下相关定义。?服务:系统提供的,用户在对其使用中会受益的功能?拒绝服务:任何对服务的干涉如果使其可用性降低或者失去可用性均称为拒绝服务。?拒绝服务攻击:是指攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的...
内容来自淘豆网转载请标明出处.电脑蓝屏攻击的三种方式 电脑蓝屏界面，一大堆代码br如图-中国学网-中国IT综合门户网站-提供健康,养生,留学,移民,创业,汽车等信息
电脑蓝屏攻击的三种方式 电脑蓝屏界面，一大堆代码br如图
来源：互联网 更新时间： 23:49:24 责任编辑：鲁晓倩字体：
描述：电脑蓝屏可能由以下原因引起：1.硬件松动，检查加固即可；2.系统驱动不兼容，升级驱动；3.电压不稳，可尝试***稳压器；4.内存或硬盘故障，寻求专业人士维修或更换内存和硬盘；5.遭到不明的程序或病毒攻击所至;6.微软补丁冲突。建议立即用360安全卫士等安全软件进行全盘查杀，然后用360卫士里的蓝屏修理程序修复。
电脑蓝屏攻击的三种方式 Windows系列的操作系统在崩溃的时候，通常显示一个蓝色的屏幕，上面写着一些复杂的符号和数字。蓝屏攻击实际上是利用Windows操作系统的内核缺陷，或采用大量的非法格式数据包发向被攻击的机器，使Windows操作系统的网络层受到破坏，而引起蓝屏死机。 目前比较常见的攻击方式有： l.BIOS攻击：向使用Windows 9x操作系统的机器的139端口发送一个数据格式非法的数据包，典型的攻击工具有WINNUK. 2.IGMP攻击：向使用Windows 9x操作系统的机器发送长度和数量都较大的IGMP数据包，典型的攻击工具有DOOM. 3.ICMP攻击：向使用Windows 9x操作系统的机器发送数量较大且类型随机变化的ICMP包。 针对以上攻击，我们可以在防火墙的安全级别设置中，将BIOS、IGMP、ICMP关闭，关闭这些协议不会影响使用Inter.
相关文章：
上一篇文章：下一篇文章：
最新添加资讯
24小时热门资讯
Copyright © 2004- All Rights Reserved. 中国学网 版权所有
京ICP备号-1 京公网安备02号