DoS是Denial of service的简称,即拒绝服务,使系统过于忙碌而不能执行有用的业务并且占尽关键系统资源。
拒绝服务攻击:造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。
攻击类型:
-
SYN Flood:SYN Flood是当前最流行的DoS(拒绝服务攻击),这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
-
IP欺骗性攻击:攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
-
UDP洪水攻击:攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。
分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)是攻击者通过控制大量的计算机设备(如个人电脑、服务器、物联网设备等),组成一个庞大的僵尸网络,然后利用这些被控制的设备同时向目标服务器或网络发送海量的请求或数据流量。使得目标系统的网络带宽、计算资源(比如CPU和内存等)或其他关键资源被耗尽,从而无法继续正常为合法用户提供服务,导致服务中断、网站无法访问或系统性能严重下降等问题。
通常由僵尸网络用于执行此恶意任务,由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。
攻击类型:
-
UDP洪水攻击:攻击者向目标发送大量UDP(用户数据报协议)数据包,导致目标系统资源耗尽。
-
ICMP洪水攻击:攻击者发送大量ICMP(互联网控制消息协议)数据包,使目标系统无法处理正常请求。
-
DNS放大攻击:攻击者利用DNS服务器放大攻击流量,向目标发送大量数据包。
-
SYN洪水攻击:攻击者利用TCP协议的三次握手过程,发送大量SYN请求,使目标系统资源耗尽。
-
HTTP洪水攻击:攻击者发送大量HTTP请求,使目标服务器无法处理正常请求。
DRDoS(Distributed Reflection Denial of Service,分布式反射拒绝服务攻击)是DDoS(Distributed Denial of Service,分布式拒绝服务攻击)的一种变体。
DRDoS攻击利用反射放大攻击技术,通过向支持特定协议(如UPnP、DNS、SNMP等)的第三方服务器发送伪造的请求,这些请求的源IP地址被伪装成目标受害者的IP地址。第三方服务器在处理这些请求后,会将大量的响应数据包发送回目标受害者,从而导致目标服务器的网络带宽和资源被耗尽,最终无法为合法用户提供服务。
攻击类型:
-
DNS反射攻击:攻击者向开放的DNS服务器发送伪造的DNS查询请求,DNS服务器将大量的DNS响应数据包发送给目标受害者。
-
NTP反射攻击:利用网络时间协议(NTP)服务器进行反射攻击,攻击者发送伪造的NTP请求,NTP服务器返回大量的时间同步数据包给
-
目标受害者。
-
SSDP反射攻击:利用通用即插即用协议(SSDP)进行反射攻击,攻击者发送伪造的SSDP请求,SSDP服务器返回大量的响应数据包给目标受害者。
-
Memcached反射攻击:利用开放的Memcached服务器进行反射攻击,攻击者发送伪造的Memcached请求,Memcached服务器返回大量的数据包给目标受害者。
防护措施:
-
流量清洗:使用专业的流量清洗设备或服务,过滤掉恶意的反射流量。
-
带宽扩容:增加网络带宽,以承受更大的流量冲击。
-
CDN加速:使用内容分发网络(CDN)来分散流量,减轻服务器的压力。
-
......
CC攻击(Challenge Collapsar Attack)是一种针对Web应用程序的分布式拒绝服务(DDoS)攻击。
CC攻击通过控制大量主机向目标服务器发送伪造的HTTP请求,这些请求通常需要复杂的计算或数据库操作,从而消耗大量的服务器资源。由于这些请求看似合法,因此很难被直接过滤,它们会导致服务器CPU、内存等资源长时间处于高负载状态,最终使服务器崩溃或无法响应正常请求。
常见类型:
直接攻击:主要针对有缺陷的WEB应用程序,通过程序漏洞发起攻击。
肉鸡攻击:利用被控制的“肉鸡”计算机模拟正常用户访问,消耗服务器资源。
僵尸攻击:类似于DDoS攻击,通过网络层面的攻击使服务器无法防御。
代理攻击:使用代理服务器生成大量请求,增加服务器负担。
攻击特点:
-
高并发:使用多个代理IP地址或僵尸网络中的设备同时发送大量HTTP GET/POST请求。
-
应用层攻击:直接作用于Web服务器、应用服务器等,而不是基础设施层面。
-
慢速攻击:某些CC攻击可能采用低速率但持续时间长的方法来维持连接,消耗服务器资源。
-
合法性:攻击流量看起来像是正常的用户请求,难以与真实流量区分开来。
-
分布式:攻击流量来自多个不同的IP地址,增加了防御的难度。
-
针对性:通常针对特定的网站或Web应用程序。
-
隐蔽性:攻击者可能使用代理服务器或匿名网络隐藏其身份。
DDoS是针对IP的攻击,而CC攻击的是服务器资源。
攻击层次不同:
-
DOS和DDoS攻击一般发生在网络层或传输层,通过消耗网络带宽或服务器的系统资源来达到攻击目的。
-
DRDoS攻击则利用反射和放大技术,在网络层发起攻击,同时通过反射服务器将流量放大。
-
CC攻击主要发生在应用层,针对Web应用程序的弱点进行攻击,通过发送大量的HTTP请求来消耗服务器的资源。
攻击源数量不同:
-
DOS攻击通常来自单一的攻击源。
-
DDoS和DRDoS攻击则来自多个攻击源,DDoS的攻击源是被控制的“肉鸡”,DRDoS的攻击源是反射服务器。
-
CC攻击的攻击源数量也很多,但这些攻击源往往分布在不同的地理位置,可能是由攻击者控制的僵尸网络中的设备,也可能是被用于反射的服务器。
攻击流量特点不同:
-
DOS攻击的流量特征比较明显,容易被防火墙等设备识别和过滤。
-
DDoS攻击的流量来自多个源,规模庞大,但攻击流量的特征可能比较单一,如大量的UDP或ICMP数据包。
-
DRDoS攻击的流量是通过反射服务器发送的,因此流量的源IP地址是伪造的,攻击流量的特征可能与正常流量相似。
-
CC攻击的流量看起来像是正常的HTTP请求,但请求的频率和并发数非常高,因此难以与正常流量区分。
原文始发于微信公众号(小白学安全):网安60秒丨DDOS&CC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论