1.什麼是DOS攻擊
首先注意這裏是DOS(Denial Of Service)攻擊,並非DoS。DoS是微軟早期的系統版本。
DoS即Denial Of Service,拒絕服務的縮寫。DoS是指故意的攻擊網絡協議實現的缺陷或直接通過野蠻手段殘忍地耗盡被攻擊對象的資源,目的是讓目標計算機或網絡無法提供正常的服務或資源訪問,使目標系統服務系統停止響應甚至崩潰,而在此攻擊中並不包括侵入目標服務器或目標網絡設備。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者允許的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的後果。要知道任何事物都有一個極限,所以總能找到一個方法使請求的值大於該極限值,因此就會故意導致所提供的服務資源匱乏,表面上好象是服務資源無法滿足需求。所以千萬不要自認爲擁有了足夠寬的帶寬和足夠快的服務器就有了一個不怕DoS攻擊的高性能網站,拒絕服務攻擊會使所有的資源變得非常渺小。
常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMPNuker、Boink、Smurf、Bonk、OOB等
2.什麼是DDOS攻擊
傳統上,攻擊者所面臨的主要問題是網絡帶寬,由於較小的網絡規模和較慢的網絡速度的限制,攻擊者無法發出過多的請求。雖然類似"the ping of death"的攻擊類型只需要較少量的包就可以摧毀一個沒有打過補丁的UNIX系統,但大多數的DoS攻擊還是需要相當大的帶寬的,而以個人爲單位的黑客們很難使用高帶寬的資源。攻擊者爲了解決這一問題,他們開發了新的攻擊方式——分佈式拒絕服務(DDoS,Distributed Denial of Service)。攻擊者通過集合許多網絡帶寬來同時攻擊一個或多個目標,成倍地提供拒絕服務攻擊威力。
雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重於通過很多“殭屍主機”(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網絡包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務,分佈式拒絕服務攻擊一旦被實施,攻擊網絡包就會猶如洪水般涌向受害主機,從而把合法用戶的網絡包淹沒,導致合法用戶無法正常訪問服務器的網絡資源,因此,拒絕服務攻擊又被稱之爲“洪水式攻擊”。
常見的DDOS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等
(1)SYN Flood
(2)ACK Flood
(3)Connection Flood
(4)HTTP Get Flood
3.兩者異同
不同點:
DDoS與DoS的最大區別是人多力量大。
DoS是一臺機器攻擊目標,DDoS是被中央攻擊中心控制的很多臺機器利用他們的高帶寬攻擊目標,可更容易地將目標網站攻下。另外,DDoS攻擊方式較爲自動化,攻擊者可以把他的程序安裝到網絡中的多臺機器上,所採用的這種攻擊方式很難被攻擊對象察覺,直到攻擊者發下統一的攻擊命令,這些機器才同時發起進攻。可以說DDoS攻擊是由黑客集中控制發動的一組DoS攻擊的集合,現在這種方式被認爲是最有效的攻擊形式,並且非常難以抵擋。
相同點:
無論是DoS攻擊還是DDoS攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收並處理外界請求,或無法及時迴應外界請求。其具體表現方式有以下幾種:
1.製造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。
2.利用被攻擊主機提供服務或傳輸協議上處理重複連接的缺陷,反覆高頻的發出攻擊性的重複服務請求,使被攻擊主機無法及時處理其它正常的請求。
3.利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反覆發送畸形的攻擊數據引發系統錯誤的分配大量系統資源,使主機處於掛起狀態甚至死機。
攻擊分類
攻擊網絡帶寬資源:
攻擊系統資源:
