Dos攻击:拒绝服务攻击,就是合理的用运用服务请求来占用过多的服务资源,从而使用户无法得到服务响应,单一的dos就是一对一的方式,但是随着计算机的发展,计算机处理数据的能力增长,这样使得dos攻击难度增加,所以就出现了DDos 分布式拒绝服务攻击。就是利用更多的肉鸡来发起攻击,使得攻击规模增大。
DDos攻击通过大量合法的请求占用大量网络资源,攻击方式:
1.常见的使用网络过载来干扰阻断正常的网络通讯
2.通过服务器提交大量的请求,是服务器超负荷工作
3.阻断某一用户访问服务器
4.阻断某服务与特点系统或个人的通讯
IP Spofing
IP欺骗攻击是一种黑客想服务端发送虚假包以欺骗服务器的做法,就是将包中的源IP地址设置为不存在或者不合法的值,服务器一旦接受该包就会返回接受请求,这时候服务器就必须监听端口等待,然而这个包永远返回不到原来的计算机,也就浪费了各种资源
LAND attack
这种攻击方式与SYN floods类似,不过在LAND attack攻击包中的源地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机。
SYN floods:利用TCP协议缺陷,发送大量TCP请求,使得资源耗尽
DDos攻击的攻击现象
1.被攻击主机上有大量的tcp连接
2.网路中充斥大量的无用数据包
3.源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
4.利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;
5.严重时会造成系统死机。
防御:
关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
1.防火墙
禁止对主机的非开放服务的访问 限制同时打开的SYN最大连接数 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 第五项主要是防止自己的服务器被当做工具去害人。
2.路由器
设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server