DOS是denial of service,也就是拒絕服務***。本人在第一次聽說DOS***還以爲是通過cmd命令打開命令提示符界面的***行爲稱作DOS***呢。不知道是不是大家當時都有這個誤區。
DOS***顧名思義,拒絕服務***。是被***者的機器無法提供服就達到了***的目的。常見的DOS***都是向被***者發送大量的垃圾數據包,使被***者一直在處理這些垃圾數據包而浪費資源,同時也消耗大量的網絡帶寬,最後導致被***者宕機,或者網絡遲緩。下面說下集中最常見的dos***方法。
死亡之ping (ping of death)這種方法就是dos***中最常見也是最簡單最容易實現的一種。其工作原理就是有***者一直向被***者發送大量的無用的ICMP包,使被***者的資源一直在處理這些無用的垃圾數據包,導致資源耗盡。
在早期一臺機器的性能很差,如果***者的帶寬比被***者大,性能比被***者強,那麼這種***是非常有用的,網絡發展至今這種***已經被淘汰!使用這種***方法是非常遭到大蝦們鄙視的。我們學習死亡之ping是因爲我們尊重它!畢竟他是早期的dos***方法之一。
比死亡之ping***方法更有效的***方法Smurf,加入死亡之ping算是明目張膽,那麼Smurf則是借刀殺人。我們回憶,如果你向一臺機器發出請求建立連接,其對方肯定也是要回應一條信息允許或者不允許。
而Smurf正是利用了這個特性,它將***地址作爲廣播,這時有人會問“如果向廣播發送數據包而所有機器在迴應一條數據包那麼***者豈不是死掉了?”而***者也不傻,他將源地址作爲被***者的IP。所有的迴應都變成了要***者的IP將大量的迴應數據包發送給被***者。造成對方的網絡堵塞,處理大量的迴應數據包而大量耗費資源最後的目的還是拒絕服務。
向常見的DOS***還有Synflood、Land-based、Teardrop等等,這裏本人就不一一介紹了。
Ddos是Distribution Denial of service ,也就是分佈式拒絕服務***。我們拿它和DOS***比較多了一個分佈式。那麼究竟什麼是分佈式呢?
剛剛我們理解了dos***的讓對方無法提供正常的服務,Ddos也是使對方無法提供正常服務***的一種,只不過是多臺機器一起使用dos***造成更大的***。通常都是一個人通知多臺肉雞對被***者發起***。如果把dos***當做是一種個人行爲單槍匹馬的戰鬥那麼ddos***則是由組織有紀律的***。
死亡之ping,萬變不離其宗,我們學習死亡之ping是因爲尊重它,雖然現在能用到死亡之ping的不多但是我們還是要學習它。Ddos的死亡之ping和dos的死亡之ping有什麼不同呢?
dos的死亡之ping是一個機器響***者發送大量的垃圾ICMP數據包,而Ddos則是使用多臺電腦一起向***者發送大量的垃圾ICMP數據包,以達到消耗對方網絡帶寬,浪費對方資源導致對方無法無法提供正常的服務。
說完了上面最傻瓜式的***方法我們說個高深的,ddos+fyn flooding***!此***方法目前沒有一種合理有效的方法能夠杜絕。(針對TCP/IP協議)
TCP/IP建立連接需要3此握手原則,就拿我要訪問51CTO爲例;首先我要一個sny值爲1的數據包給51cto,而51cto也要返回我一個syn值爲1、ack值爲1的數據包,我在向51cto發送ack包進行確認連接方能建立連接。如果中途發生丟包現象則由發送方繼續發送同樣的數據包。
而ddos+fyn flooding***正是利用了這種特性,控制大量肉雞向被***者僅發送syn值爲1的數據包,使被***者一直嘗試向***者發送syn值爲1,ack值爲1的數據包。持續3-5分鐘認爲對方不會再連接,放棄發送。如果供給量大的話任何使用TCP/IP通信的電腦都無法防禦這種***行爲。這就是無論多麼資深多麼權威的安全專家談之色變,束手無策的***方法。(如果有發表錯誤的地方敬請提出。謝謝)
僅此討論請勿嘗試