一台电脑只能去抓肉鸡来进行DDoS,不然就只能叫DOS了。啥是肉鸡?请看我之前回答:DDoS 的肉鸡都是哪来的?
目录
那么DDoS又是啥?怎么才能叫DDoS?
DDoS攻击就是利用网络上被攻陷的电脑作为“肉鸡“,通过一定方式组合形成数量庞大的“僵尸网络”,采用一对多的方式进行控制,向目标系统同时提出服务请求,杀伤力很大。DDoS 攻、防对抗多年,从DoS到DDoS,从以流量取胜到以技巧取胜,从单一攻击到混合攻击,攻击手段正不断进化。
DDoS攻击有哪些?
ICMP Flood
ICMP(Internet控制报文协议)用于在IP主机、路由器之间传递控制消息,控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息,虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。通过对目标系统发送海量数据包,就可以令目标主机瘫痪,如果大量发送就成了洪水攻击。
UDP Flood
UDP协议是一种无连接的服务,在UDP Flood 中,攻击者通常发送大量伪造源IP地址的小UDP包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。
上述传统的流量型攻击方式技术含量较低,伤人一千自损八百,攻击效果通常依赖受控主机本身的网络性能,而且容易被查到攻击源头,单独使用的情况已不常见。于是,具有四两拔千斤效果的反射型放大攻击就出现了。
NTP Flood
NTP是标准的基于UDP协议传输的网络时间同步协议,由于UDP协议的无连接性,方便伪造源地址。攻击者使用特殊的数据包,也就是IP地址指向作为反射器的服务器,源IP地址被伪造成攻击目标的IP,反射器接收到数据包时就被骗了,会将响应数据发送给被攻击目标,耗尽目标网络的带宽资源。一般的NTP服务器都有很大的带宽,攻击者可能只需要1Mbps的上传带宽欺骗NTP服务器,就可给目标服务器带来几百上千Mbps的攻击流量。
因此,“问-答”方式的协议都可以被反射型攻击利用,将质询数据包的地址伪造为攻击目标地址,应答的数据包就会都被发送至目标,一旦协议具有递归效果,流量就被显著放大了,堪称一种“借刀杀人”的流量型攻击。
SYN Flood
这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。建立TCP连接,需要三次握手——客户端发送SYN报文,服务端收到请求并返回报文表示接受,客户端也返回确认,完成连接。
SYN Flood 就是用户向服务器发送报文后突然死机或掉线,那么服务器在发出应答报文后就无法收到客户端的确认报文(第三次握手无法完成),这时服务器端一般会重试并等待一段时间后再丢弃这个未完成的连接。一个用户出现异常导致服务器的一个线程等待一会儿并不是大问题,但恶意攻击者大量模拟这种情况,服务器端为了维护数以万计的半连接而消耗非常多的资源,结果往往是无暇理睬客户的正常请求,甚至崩溃。从正常客户的角度看来,网站失去了响应,无法访问。
CC 攻击
CC攻击是目前应用层攻击的主要手段之一,借助代理服务器生成指向目标系统的合法请求,实现伪装和DDoS。我们都有这样的体验,访问一个静态页面,即使人多也不需要太长时间,但如果在高峰期访问论坛、贴吧等,那就很慢了,因为服务器系统需要到数据库中判断访问者否有读帖、发言等权限。访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。
CC攻击就充分利用了这个特点,模拟多个正常用户不停地访问如论坛这些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的请求,网络拥塞,正常访问被中止。这种攻击技术性含量高,见不到真实源IP,见不到特别大的异常流量,但服务器就是无法进行正常连接。
之所以选择代理服务器是因为代理可以有效地隐藏自己的身份,也可以绕开防火墙,因为基本上所有的防火墙都会检测并发的TCP/IP连接数目,超过一定数目一定频率就会被认为是Connection-Flood。当然也可以使用肉鸡来发动CC攻击,攻击者使用CC攻击软件控制大量肉鸡发动攻击,肉鸡可以模拟正常用户访问网站的请求伪造成合法数据包,相比前者来说更难防御。
CC攻击是针对Web服务在第七层协议发起的攻击,在越上层协议上发动DDoS攻击越难以防御,上层协议与业务关联愈加紧密,防御系统面临的情况也会更复杂。比如CC攻击中最重要的方式之一HTTP Flood,不仅会直接导致被攻击的Web前端响应缓慢,对承载的业务造成致命的影响,还可能会引起连锁反应,间接攻击到后端的Java等业务层逻辑以及更后端的数据库服务。
由于CC攻击成本低、威力大,知道创宇安全专家组发现80%的DDoS攻击都是CC攻击。带宽资源严重被消耗,网站瘫痪;CPU、内存利用率飙升,主机瘫痪;瞬间快速打击,无法快速响应。
DNS Query Flood
DNS作为互联网的核心服务之一,自然也是DDoS攻击的一大主要目标。DNS Query Flood采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,若查找不到且该域名无法直接解析时,便向其上层DNS服务器递归查询域名信息。
通常,攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名,由于在本地无法查到对应的结果,服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。解析过程给服务器带来很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS服务器的脆弱性。
混合攻击
在实际情况中,攻击者只求达到打垮对方的目的,发展到现在,高级攻击者已经不倾向使用单一的攻击手段作战了,而是根据目标系统的具体环境灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻势。
对于被攻击目标来说,需要面对不同协议、不同资源的分布式的攻击,分析、响应和处理的成本就会大大增加。
最后啰嗦两句(其实是打个广告)
要防御DDoS攻击,请找我们抗D保,因为我们是专业的!
欢迎访问我们:
抗D保
知道创宇云安全
如果从“第一桶金”的角度思考,这个问题的回答是“可以的”。
很多回答都关注 Distributed Denial of Service 的解释。确实,一台机器算不上分布式,然而攻击者通过这台电脑,借助一些工具,花一定的时间,找到了很多肉鸡,DDoS 就可以顺利发动了。
如何找到肉鸡,那是另外一个问题,看官可以知乎搜索。这里要强调的是 DDoS 成本低、效果好:
DDoS 简单粗暴,可以达到直接摧毁目标的目的。DDoS 的技术要求和发动攻击的成本很低,只需要购买部分服务器权限或控制一批肉鸡即可,而且攻击相应速度很快,攻击效果可视。DDoS 具有攻击易防守难的特征,服务提供商为了保证正常客户的需求需要耗费大量的资源才能和攻击发起方进行对抗。这些特点使得 DDoS 成为黑客们手中的一把很好使的利剑,而且所向霹雳。
网易云安全工程师认为,防护是一个技术和成本不对等的工程,往往一个业务的 DDoS 防御系统建设成本要比业务本身的成本或收益更加庞大。
所以,有必要理解DDoS防护本质是基于资源较量和规则过滤的智能化系统,了解 DDoS 攻防知识,比如DDoS防护之TCP防护。
利益相关:网易云提供 DDoS高防服务
只有一台电脑,可以DOS网站,不能做DDOS
<hide><style color=white>如果在看到这句话后,你的反应是去比较两者区别,我们还可以交流,如果你的反应是问那要如何才能DDOS,我愿意把回答改为“明知他人用于破坏用途仍然传播作案工具的是违法行为”并亲自举报这个问题</color></hide>:)
这个可以通过不对称的响应包达到效果,不过一台电脑的流量实在有点小,下边是几种常见的放大型的攻击
1.ACK反射攻击
ACK反射攻击利用的是TCP(传输控制协议)在建立连接时的三次握手,当客户端请求SYN连接时,服务器会向其返回ACK应答,利用这个应答即可进行ACK应答反射攻击。
当客户端建立TCP连接时,TCP会进行三次握手,同时服务器会返回ACK应答,攻击者操控僵尸主机向作为反射器的服务器发起大量的TCP请求数据包,并将源地址伪造为目标主机,这样作为反射器的服务器在收到TCP请求后会认为是目标主机发送给的请求,所以将ACK应答返回给目标主机,这样大量的ACK应答发送到目标主机,堵塞目标主机的带宽,形成拒绝服务。完成这ACK反射攻击,需要找到大量的开启了
TCP端口的服务器作为反射器,反射器越多效果越明显。
2.DNS放大攻击
DNS域名解析协议,作为互联网上域名与IP相互映射的一个分布式数据库,能够方便的通过域名解析到指定的IP地址,而无需记忆IP地址。
由于DNS的响应数据包远远大于请求数据包,配合反射攻击的原理,攻击者通过操纵大量僵尸主机向作为反射器的服务器发起请求,并将源地址伪造为目标主机IP,由于响应包大于请求包,所以返回到目标主机的流量将远远大于与请求的流量,通常放大倍数2~10倍,这就是通过反射放大形成的放大攻击。
由于当DNS响应包大于512字节时,大于512的部分会被舍弃,这样我们的放大攻击效果可能会被减弱,而DNS的扩展机制EDNS0,扩展了DNS数据包的结构会根据请求包的大小生成响应包大小从而解决了这个问题。攻击者利用dig与EDNS0配合,向开放了DNS解析器的反射器发送dig查询命令,同时将请求包的大小设置到足够大,并将请求的源IP地址伪造为目标服务器的IP地址,DNS解析器在收到查询命令后,会将解析结果返回到源地址也就是目标地址,从而形成拒绝服务攻击。这种放大攻击放大倍数可以达到请求数据的50倍以上。
3.NTP放大攻击
NTP网络时间协议,用来同步计算机时间的协议,它可以使计算机与时间源进行高精度化的同步。
当计算机向NTP服务器请求时,请求中的monlist可以获取到最后600个与NTP服务器通讯的计算机信息,这就又意味着一个请求可以返回一个非常大的响应包。攻击方法与ACK/DNS攻击一样,通过大量的僵尸主机伪造源IP地址向NTP服务器发送请求包,NTP服务器将响应包发给目标主机,形成拒绝服务。这种攻击最大可以放大700倍。
完成NTP攻击需要大量的NTP服务器。
4.SNMP放大攻击
SNMP简单网络管理协议,提供一个管理框架来监控和维护互联网设备。
攻击者通过SNMP协议向开启SNMP的网络设备并伪造源IP地址,设备在收到GETBulk请求后,将响应包发到目标主机形成拒绝服务攻击,放大效果可到达25倍以上。
Distributed Denial of Service。。。
所以为了实现Distributed你要有多个机器吧。。。
一个电脑也就DOS了。。。