关于安全:网络层的DDoS攻击与应用层的DDoS攻击之间的区别

131次阅读

共计 4157 个字符,预计需要花费 11 分钟才能阅读完成。

DDoS 攻打(即“散布是拒绝服务攻打”),是基于 DoS 的非凡模式的拒绝服务攻打,是一种分布式、合作的大规模攻击方式,次要瞄准一些企业或政府部门的网站发动攻打。依据攻打原理和形式的区别,能够把 DDoS 攻打分为两个不同档次,一种是传统的、基于网络层的 DDoS 攻打,另一种则是现阶段较为常见的、基于应用层的 DDoS 攻打,这两类不同层面的 DDoS 攻击方式各有特点,都对网络的平安造成了极大的危害。

一、网络层 DDoS 攻打原理及形式

常见的网络层 DDoS 攻打就是利用 TCP/IP 协定族的一些特色,管制大量的傀儡机发送正当的申请来耗费攻打指标主机的 CPU 和内存资源,因为攻打指标主机资源的疾速耗费,就会使得非法的用户无奈失去所申请的服务。

常见的网络层 DDoS 攻击方式有:

1、SYN-Flood 攻打

SYN-Flood 攻打是指攻击者利用 TCP 三次握手的原理,向指标主机发送大量 SYN 标记的 TCP 申请,当服务器接管的这些申请数据包的时候,会为这些连贯申请建设会话,并且把这些并未建设残缺连贯的会话排到缓冲区队列中。攻击者能够发送源地址为假的分组,期待服务器发送分组,而因为源地址为假,因为零碎发送回来的分组就等不到源地址主机的响应,因而,服务器的带宽和资源将在维持大量的这类半连贯上被消耗掉,一旦申请超过了服务器的缓冲区容量,此时服务器就不能再接管新的连贯申请了。此时其余非法的用户就无奈建设与服务器的连贯。

2、ACK-Flood 攻打

ACK Flood 攻打。在 TCP 连贯建设之后,所有的数据传输 TCP 报文都是带有 ACK 标记位的,主机在接管到一个带有 ACK 标记位的数据包的时候,须要查看该数据包所示意的连贯四元组是否存在,如果存在则查看该数据包所示意的状态是否非法,而后再向应用层传递该数据包。如果在查看中发现该数据包不非法,例如该数据包所指向的目标端口在本机并未凋谢,则主机操作系统协定栈会回应 RST 包通知对方此端口不存在。通常状态检测防火墙所做的事件与此相似,只不过防火墙只拦挡非法的数据包,而不被动回应。

比照主机以及防火墙在接管到 ACK 报文和 SYN 报文时所做动作的复杂程度,显然 ACK 报文带来的负载要小得多。所以在理论环境中,只有当攻打程序每秒钟发送 ACK 报文的速率达到肯定的水平,能力使主机和防火墙的负载有大的变动。当发包速率很大的时候,主机操作系统将消耗大量的精力接管报文、判断状态,同时要被动回应 RST 报文,失常的数据包就可能无奈失去及时的解决。这时候客户端(以 IE 为例)的体现就是拜访页面反馈很慢,丢包率较高。然而状态检测的防火墙通过判断 ACK 报文的状态是否非法,借助其弱小的硬件能力能够较为无效的过滤攻打报文。当然如果攻打流量十分大,因为须要保护很大的连贯状态表同时要查看数量微小的 ACK 报文的状态,防火墙也会不堪重负导致全网瘫痪。

3、UDP-Flood 攻打

UDP 在 Internet 中的利用是比拟宽泛的,尤其在一类实时性要求较高,而对数据包传输的完整性要求不高的利用来说,这其中以视频和即时通信最为典型,这些服务首先要求保障的不是品质而是实时性。UDP Flood 常产生对 DNS 服务器以及流媒体视频服务器上,UDP 是基于无连贯的协定,当攻打指标接管到一个 UDP 数据包时,它会确定目标端口所对应的应用程序。当攻打指标主机发现该应用程序并不存在时,会产生一个目标地址无奈连贯的 ICMP 数据包发送给源地址。如果向攻打指标主机的端口发送了足够多的 UDP 数据包的时候,攻打指标主机就会解体。常见的 UDP 攻打有 NTP 攻打。

4、ICMP-Flood 攻打

ICMP Flood 的攻打原理和 ACK Flood 原理相似,属于流量型的攻击方式,也是利用大的流量给服务器带来较大的负载,影响服务器的失常服务。因为目前很多防火墙间接过滤 ICMP 报文,因而 ICMP Flood 呈现的频度较低。

二、应用层 DDoS 攻打原理及形式

传统上的攻打 DDoS 是指产生在网络层的 DDoS 攻打,如本章上文所指的 DDoS 攻打个别就是指代的网络层 DDoS 攻打。而应用层 DDoS 攻打是在网络层 DDoS 攻打的根底上倒退起来的,应用层 DDoS 攻打是一种新型的攻击方式,这类攻击方式的实质还是基于洪水式的攻击方式,即攻击者通过代理服务器或者僵尸网络向攻打指标发送大量的高频非法申请,以达到耗费攻打指标带宽的目标,然而,应用层 DDoS 攻打更为次要的目标是要可能耗费主机资源。

常见的应用层 DDoS 攻打有:

1、DNS-Flood 攻打

DNS-Flood 就是攻击者操纵大量傀儡机器,对指标发动海量的域名查问申请。为了避免基于 ACL 的过滤,必须进步数据包的随机性。罕用的做法是 UDP 层随机伪造源 IP 地址、随机伪造源端口等参数。在 DNS 协定层,随机伪造查问 ID 以及待解析域名。随机伪造待解析域名除了避免过滤外,还能够升高命中 DNS 缓存的可能性,尽可能多地耗费 DNS 服务器的 CPU 资源。

2、慢连贯攻打

在 POST 提交形式中,容许在 HTTP 的头中申明 content-length,也就是 POST 内容的长度。在提交了头当前,将前面的 body 局部卡住不发送,这时服务器在承受了 POST 长度当前,就会期待客户端发送 POST 的内容,攻击者放弃连贯并且以 10S-100S 一个字节的速度去发送,就达到了耗费资源的成果,因而一直地减少这样的链接,就会使得服务器的资源被耗费,最初可能宕机。

3、CC 攻打

CC 攻打是基于页面攻打的,次要攻打指标是提供网页拜访服务的服务器。这些网页往往存在 ASP,JSP,PHP 等脚本程序,并且 CC 攻打会重点调用 Mssql、Mysql、Oracle 等数据库,并对这些数据库发动操作。对于网页的拜访来说,如果只是查看动态的网页内容,这种服务是不会占用太多服务器的资源的,然而当须要拜访波及到用户与页面之间存在交互的动静网页,这时就须要占用服务器的大量资源了。

比方用户在对数据库进行查找,批改时,服务器第一次会把用户所收回的对于数据库的操作返回,进行相应的操作后,第二次再把后果返回给用户,这其中就包含了至多两次的输入输出操作。如果同一时刻有大量的用户发动这样的申请,服务器的性能会很快降落。CC 攻打利用了这个特点,模仿许多用户不间断的对服务器进行拜访,而且 CC 攻打往往是攻打服务器上开销比拟大的动静页面。这样的攻击方式有很强的隐蔽性,使得零碎很难辨别是失常的用户操作还是歹意的攻打。

CC 攻打和 HTTP GET 攻打的攻击方式差不多,惟一的区别在于 CC 攻打是利用了代理作为攻打的发动点,这一方面使得追究攻打源变得艰难。而 HTTP GET 攻打则并没有应用代理的形式。另一方面 CC 攻打还利用了代理服务器的缓存个性,即当客户端断开连接得时候,代理服务器还能放弃和服务器的一段时间的连贯,这个个性能够保障 CC 攻打的发起者无需关怀由服务器发回的响应,而持续放弃对服务器的继续交互。CC 攻打的这种个性更加重大侵害了服务器的性能。因而,CC 攻打对服务器性能所造成的损失将更为微小,也更加难以防备。而当 HTTP GET 连贯被断开之后,发动攻打的傀儡机也就不能再持续发送申请数据包了,这种状况下 HTTP GET 攻打就比 CC 攻打显得易于防备,其危害也相应的就显得较易管制。

三、应用层 DDoS 攻打与网络层 DDoS 攻打的差别

应用层 DDoS 攻打和传统的网络层 DDoS 攻打之间存在着较大的差异,很多网络层 DDoS 攻打的个性在应用层攻打中曾经不复存在了,这两类攻打的具体差异体现在以下几个方面:

1、两者实现的档次不同

网络层 DDoS 攻打产生在低层,而应用层 DDoS 攻打利用了高层协定实现。网络层 DDoS 攻打的典型攻击方式是:攻击者应用虚伪的 IP 地址来管制攻打节点,而后由被管制的攻打节点向指标主机发送大量的攻打数据包,这些数据包包含有 UDP 和 ICMP 等,同时这种攻击方式将会利用 TCP 协定三次握手机制的毛病,使得攻打指标在收到这些不存在的 IP 地址的连贯申请之后,为了保护一个开销十分大的半开连贯而须要耗费大量的 CPU 和内存资源,最终将导致无奈再为用户提供服务。

而应用层则 DDoS 则不然,以 Web 服务为例,基于 Web 的利用(如 HTTP 和 HTTPS)通过凋谢的 TCP 端口为客户提供服务, 应用层 DDoS 攻打利用了高层的协定,其攻打得以实现是以失常 TCP 连贯和 IP 分组为前提,因而这就不具备传统 DDoS 攻打的行为特色(以 TCP 半凋谢连贯最为显著),而且它无奈采纳虚伪的 IP 地址(利用虚伪的 IP 地址将无奈建设非法和无效的 TCP 连贯)的办法。因为基于网络层的检测零碎很难对高层的行为进行判断,所以零碎就无奈判断通过这些端口的用户申请由失常用户还是攻击者收回的,因而针对高层协定的应用层 DDoS 攻打的申请能够顺利穿梭基于底层协定的检测零碎。

2、应用层 DDoS 有更多更简单的模式

以 Web 服务器为例,它能够提供诸如数据库查问、客户端服务端的交互等服务,所以攻击者通过大量傀儡机向攻打指标主机发送申请数据包的攻击方式并不是应用层 DDoS 攻打的支流攻击方式,相同,应用层 DDoS 攻打能够用低速率的申请、大量的攻打节点来实现攻打成果。从这点上来看,应用层的 DDoS 攻打远比网络层 DDoS 攻打来的简单,它能够实现更多的性能。因而,应用层 DDoS 攻打能够产生更大的破坏力。这种以简略的 HTTP 申请就能够触发服务器执行一系列简单操作的攻击方式是应用层 DDoS 和网络层 DDoS 攻打的差别之一。

总的来说,网络层 DDoS 攻打和应用层 DDoS 攻打的次要区别在于攻打的指标和伎俩。网络层攻打次要针对网络基础设施,而应用层攻打则针对应用程序自身。因而,在进攻策略上也须要有所不同。对于网络层 DDoS 攻打,进攻措施通常包含配置防火墙、路由器和交换机等网络设备以过滤伪造或有效的数据包,以及应用内容散发网络(SCDN)等技术来扩散和缓解攻打流量。对于应用层 DDoS 攻打,进攻措施则更加简单。除了应用防火墙等基础设施进攻伎俩外,还须要增强应用程序的安全性和稳定性,例如通过限度申请频率、施行验证码机制、应用负载平衡等技术来扩散和过滤无害申请。总之,无论是网络层 DDoS 攻打还是应用层 DDoS 攻打,都对网络安全形成了严重威胁。因而,咱们须要一直学习和钻研新的进攻技术和策略,以确保网络安全和稳固。

正文完
 0