一種網路攻擊手法, 目的在於使目標電腦或網路資源耗盡, 更嚴重是停止作用,
使得目標的客戶無法使用目標企業的服務.
Adversary 可以使用網路中的電腦, 兩個以上的做為 " 殭屍", 這些殭屍在對於Adversary的目標發動" 阻斷攻擊 ", 或稱為"散式阻斷服務攻擊(Distributed Denial of Service attack, DDoS)" .
一. 攻擊現象:
由美國國土安全部下的美國電腦緊急應變小組(US-CERT)定義:
- 網路異常緩慢(開啟檔案或存取網站)
- 特定網站無法存取
- 無法存取任何網站
- 垃圾信件的數量急劇增加
- 無線或有線網路連線異常斷開
- 長時間嘗試存取網站或任何網際網路服務時被拒絕
二. 攻擊方式:
頻寬消耗型以及資源消耗型, 以合法或不合法的請求占用電腦資源及空間, 使至癱瘓.
- 頻寬消耗型攻擊: 洪泛攻擊或放大攻擊
- 洪泛攻擊: 利用殭屍程式傳送大量流量至受損的受害者系統, 目的在於堵塞其頻寬。
- 放大攻擊: 通過惡意放大流量限制受害者系統的頻寬;其特點是利用殭屍程式通過偽造的源IP(即攻擊目標)向某些存在漏洞的伺服器傳送請求,伺服器在處理請求後向偽造 的源IP傳送應答,由於這些服務的特殊性導致應答包比請求包更長,因此使用少量的頻寬就能使伺服器傳送大量的應答到目標主機上。
- 資源消耗型攻擊:
- 協定分析攻擊(SYN flood,SYN洪水)
- LAND attack
- CC攻擊
- 殭屍網路攻擊
- Application level floods(應用程式級洪水攻擊)
阻斷服務攻擊的防禦方式通常為入侵檢測,流量過濾和多重驗證,旨在堵塞網路頻寬的流量將被過濾,而正常的流量可正常通過。
- 防火牆: 設定規則,例如允許或拒絕特定通訊協定,埠或IP位址。當攻擊從少數不正常的IP位址發出時,可以簡單的使用拒絕規則阻止一切從攻擊源IP發出的通信。 複雜攻擊難以用簡單規則來阻止,例如80埠(網頁服務)遭受攻擊時不可能拒絕埠所有的通信,因為其同時會阻止合法流量。此外,防火牆可能處於網路架構中過後的位置,路由器可能在惡意流量達到防火牆前即被攻擊影響。然而,防火牆能有效地防止使用者從啟動防火牆後的電腦發起
- 交換機多: 數交換機有一定的速度限制和存取控制能力。有些交換機提供自動速度限制、流量整形、後期連線、深度包檢測和假IP過濾功能,可以檢測檢測並過濾阻斷服務攻擊。例如SYN洪水攻擊可以通過後期連線加以預防。基於內容的攻擊可以利用深度包檢測阻止。
- 路由器: 和交換機類似,路由器也有一定的速度限制和存取控制能力,而大多數路由器很容易受到攻擊影響
- 黑洞啟動: 黑洞啟動指將所有受攻擊電腦的通信全部傳送至一個「黑洞」(空介面或不存在的電腦位址),以避免網路受到較大影響。
例如將網域中的所有頁面導向 GOOGLE 使 Google 接收「Dos」,而「Dos」對Google來講如同抓癢般。
https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A
沒有留言:
張貼留言