1.DOS攻擊就是拒絕服務(wù)攻擊是當(dāng)攻擊者阻止合法用戶訪問(wèn)特定計(jì)算機(jī)系統(tǒng),設(shè)備,服務(wù)或其他IT資源時(shí)發(fā)生的安全事件。拒絕服務(wù)(DoS)攻擊通常會(huì)使服務(wù)器,系統(tǒng)或網(wǎng)絡(luò)充滿流量,以淹沒(méi)受害者的資源,并使合法用戶難以或無(wú)法訪問(wèn)它們。
2.雖然崩潰服務(wù)器的攻擊通常可以通過(guò)簡(jiǎn)單地重新啟動(dòng)系統(tǒng)來(lái)成功處理,但洪水攻擊可能更難以從中恢復(fù)。從分布式拒絕服務(wù)(DDoS)攻擊中恢復(fù),其中攻擊流量來(lái)自大量源,可能更加困難。
3.DoS和DDoS攻擊經(jīng)常使用網(wǎng)絡(luò)協(xié)議處理網(wǎng)絡(luò)流量的方式中的漏洞;例如,通過(guò)從不同的互聯(lián)網(wǎng)協(xié)議(IP)地址向易受攻擊的網(wǎng)絡(luò)服務(wù)發(fā)送大量數(shù)據(jù)包,以使服務(wù)無(wú)效并使其對(duì)合法用戶不可用。
4.DoS攻擊的跡象
如何確定攻擊可根據(jù)一些現(xiàn)有的指導(dǎo)方針,以確定何時(shí)可能正在進(jìn)行DoS攻擊。US-CERT聲明以下可能表明此類攻擊:
a.網(wǎng)絡(luò)性能下降,特別是在嘗試打開(kāi)存儲(chǔ)在網(wǎng)b.絡(luò)上的文件或訪問(wèn)網(wǎng)站時(shí);
c.無(wú)法訪問(wèn)特定網(wǎng)站;
d.訪問(wèn)網(wǎng)站時(shí)遇到困難;和
e.垃圾郵件的數(shù)量高于平時(shí)。
5.防止DoS攻擊
專家建議采取一系列策略來(lái)防御DoS和DDoS攻擊,從提前準(zhǔn)備事件響應(yīng)計(jì)劃開(kāi)始。
5.1當(dāng)企業(yè)懷疑正在進(jìn)行DoS攻擊時(shí),它應(yīng)聯(lián)系其互聯(lián)網(wǎng)服務(wù)提供商(ISP)以確定該事件是否是實(shí)際的DoS攻擊或由其他因素引起的性能下降。ISP可以通過(guò)重新路由或限制惡意流量并使用負(fù)載平衡器來(lái)減少攻擊的影響,從而幫助緩解DoS和DDoS。
5.2企業(yè)可能還希望探索使用拒絕服務(wù)攻擊檢測(cè)產(chǎn)品進(jìn)行DoS保護(hù)的可能性;一些入侵檢測(cè)系統(tǒng),入侵防御系統(tǒng)和防火墻提供DoS檢測(cè)功能。其他策略包括與備份ISP簽訂合同并使用基于云的反DoS
5.3BotnetDDoS防御防御僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的分布式拒絕服務(wù)攻擊,雖然有些情況下攻擊者要求受害者付款以結(jié)束DoS或DDoS攻擊,但財(cái)務(wù)利潤(rùn)通常不是此類攻擊背后的動(dòng)機(jī)。在許多情況下,攻擊者希望對(duì)攻擊中的目標(biāo)組織或個(gè)人造成傷害。在其他情況下,襲擊者只是試圖通過(guò)對(duì)最大數(shù)量的受害者造成最大的傷害或不便來(lái)破壞受害者。當(dāng)識(shí)別出DoS攻擊的實(shí)施者時(shí),也可以揭示攻擊的原因。
6.許多備受矚目的DoS攻擊實(shí)際上是分布式攻擊,這意味著攻擊流量來(lái)自多個(gè)攻擊系統(tǒng)。雖然源自單個(gè)源或IP地址的DoS攻擊可以更容易緩解,因?yàn)榉烙呖梢宰柚箒?lái)自違規(guī)源的網(wǎng)絡(luò)流量,但是從多個(gè)攻擊系統(tǒng)發(fā)出的攻擊更難以檢測(cè)和防御。當(dāng)從似乎位于互聯(lián)網(wǎng)上的IP地址發(fā)送數(shù)據(jù)包時(shí),很難區(qū)分合法流量和惡意流量并過(guò)濾掉惡意數(shù)據(jù)包。
7.DoS攻擊的類型
除了區(qū)分單源拒絕服務(wù)攻擊和DDoS攻擊之外,還可以通過(guò)攻擊中使用的方法對(duì)DoS攻擊進(jìn)行分類。
7.1在擴(kuò)展域名系統(tǒng)(DNS)拒絕服務(wù)攻擊中,攻擊者生成精心設(shè)計(jì)的DNS請(qǐng)求,這些請(qǐng)求似乎源自受害者網(wǎng)絡(luò)中的IP地址,并將其發(fā)送到由第三方管理的配置錯(cuò)誤的DNS服務(wù)器。當(dāng)中間DNS服務(wù)器響應(yīng)偽造的DNS請(qǐng)求時(shí)發(fā)生放大。從中間DNS服務(wù)器到精心設(shè)計(jì)的攻擊請(qǐng)求的響應(yīng)可能包含比普通DNS響應(yīng)更多的數(shù)據(jù),這需要更多資源來(lái)處理。這可能導(dǎo)致合法用戶被拒絕訪問(wèn)該服務(wù)。
7.2應(yīng)用層攻擊會(huì)為互聯(lián)網(wǎng)應(yīng)用服務(wù)器(尤其是DNS服務(wù)器或HTTP服務(wù)器)產(chǎn)生虛假流量。雖然一些應(yīng)用程序?qū)泳芙^服務(wù)攻擊僅依賴于使用網(wǎng)絡(luò)數(shù)據(jù)充斥應(yīng)用程序服務(wù)器,但其他攻擊依賴于利用受害者應(yīng)用程序服務(wù)器或應(yīng)用程序協(xié)議本身的弱點(diǎn)或漏洞。
7.3一個(gè)緩沖區(qū)溢出攻擊是一種包羅萬(wàn)象的描述最常應(yīng)用于發(fā)送更多的流量比是誰(shuí)設(shè)計(jì)它曾經(jīng)預(yù)計(jì)開(kāi)發(fā)商的網(wǎng)絡(luò)資源的DoS攻擊。此類攻擊的一個(gè)示例是使用Netscape或Microsoft電子郵件客戶端將具有256個(gè)字符文件名的文件作為附件發(fā)送給收件人;長(zhǎng)于預(yù)期的文件名足以使這些應(yīng)用程序崩潰。
7.4在DDoS攻擊中,攻擊者可能使用已被惡意軟件感染并成為僵尸網(wǎng)絡(luò)一部分的計(jì)算機(jī)或其他聯(lián)網(wǎng)設(shè)備。分布式拒絕服務(wù)攻擊,尤其是那些使用僵尸網(wǎng)絡(luò)的攻擊,使用命令和控制(C&C)服務(wù)器來(lái)指導(dǎo)僵尸網(wǎng)絡(luò)成員的操作。C&C服務(wù)器規(guī)定了要發(fā)起的攻擊類型,要傳輸?shù)臄?shù)據(jù)類型以及攻擊所針對(duì)的系統(tǒng)或網(wǎng)絡(luò)資源。
7.5該平的死亡攻擊濫用的超大有效載荷發(fā)送請(qǐng)求消息,從而導(dǎo)致目標(biāo)系統(tǒng)的Ping協(xié)議,成為不堪重負(fù),停止響應(yīng)服務(wù)請(qǐng)求合法,并有可能崩潰受害者的系統(tǒng)。
7.6一個(gè)SYN洪水攻擊濫用TCP的握手協(xié)議,通過(guò)它客戶機(jī)建立與服務(wù)器的TCP連接。在SYN泛洪攻擊中,攻擊者指示高容量請(qǐng)求流與受害者服務(wù)器打開(kāi)TCP連接,而無(wú)意實(shí)際完成電路。生成SYN請(qǐng)求流的成本相對(duì)較低,但響應(yīng)此類請(qǐng)求對(duì)受害者來(lái)說(shuō)是資源密集型的。結(jié)果是成功的攻擊者可以拒絕合法用戶訪問(wèn)目標(biāo)服務(wù)器。
當(dāng)攻擊者通過(guò)填充攻擊數(shù)據(jù)來(lái)攻擊防火墻,路由器和其他網(wǎng)絡(luò)設(shè)備中的狀態(tài)表時(shí),就會(huì)發(fā)生狀態(tài)耗盡攻擊-也稱為TCP或傳輸控制協(xié)議攻擊。當(dāng)這些設(shè)備包含對(duì)網(wǎng)絡(luò)電路的狀態(tài)檢查時(shí),攻擊者可以通過(guò)打開(kāi)比受害系統(tǒng)可以立即處理的更多TCP電路來(lái)填充狀態(tài)表,從而阻止合法用戶訪問(wèn)網(wǎng)絡(luò)資源。
7.7淚滴式攻擊以類似于舊操作系統(tǒng)處理碎片化Internet協(xié)議數(shù)據(jù)包的方式利用漏洞。當(dāng)數(shù)據(jù)包太大而無(wú)法由中間路由器處理時(shí),IP規(guī)范允許數(shù)據(jù)包分段,并且它需要數(shù)據(jù)包片段來(lái)指定片段偏移。在淚滴攻擊中,片段偏移被設(shè)置為彼此重疊。運(yùn)行受影響的操作系統(tǒng)的主機(jī)無(wú)法重新組裝碎片,攻擊可能會(huì)導(dǎo)致系統(tǒng)崩潰。
7.8容量DoS攻擊旨在通過(guò)使用可用于獲取這些資源的所有帶寬來(lái)干擾對(duì)網(wǎng)絡(luò)資源的合法訪問(wèn)。為此,攻擊者必須在受害者系統(tǒng)中引導(dǎo)大量網(wǎng)絡(luò)流量。使用用戶數(shù)據(jù)報(bào)協(xié)議或Internet控制消息協(xié)議,容量DoS攻擊使用網(wǎng)絡(luò)數(shù)據(jù)包淹沒(méi)受害者的設(shè)備。這些協(xié)議需要相對(duì)較少的開(kāi)銷來(lái)生成大量流量,同時(shí),需要受害者網(wǎng)絡(luò)設(shè)備部分的非平凡計(jì)算來(lái)處理傳入的惡意數(shù)據(jù)報(bào)。