模板网站制作视频/网站推广途径和推广要点有哪些?
目录
一、Dos (Denial of Service Attack) - 拒绝服务攻击
1、核心概念
2、攻击方式
3、特点
4、防御策略:本地强化与协议优化
二、DDoS (Distributed Denial of Service Attack) - 分布式拒绝服务攻击
1、核心概念
2、攻击方式
3、特点
4、防御策略:分散压力并隐藏目标
三、DRDoS (Distributed Reflected Denial of Service Attack) - 分布式反射拒绝服务攻击
1、核心概念
2、攻击原理
3、特点
4、防御策略:阻断反射源与欺骗路径
拒绝服务攻击核心目的:通过向目标系统发送大量的恶意流量或请求,使目标系统(网站、服务器、网络服务等)无法为合法用户提供正常的服务。
一、Dos (Denial of Service Attack) - 拒绝服务攻击
1、核心概念
攻击者使用单一的计算机和网络连接,向目标系统发送大量的恶意流量或请求,意图耗尽目标系统的关键资源(如带宽、CPU、内存、连接数等),导致其无法响应合法用户的请求。
2、攻击方式
-
带宽消耗: 发送巨大的数据流(如UDP洪水、ICMP洪水/Ping洪水),堵塞目标的网络管道。
-
资源消耗: 发送大量需要目标系统处理的请求(如TCP SYN洪水、HTTP洪水)。例如,在SYN洪水中,攻击者发送大量TCP连接请求(SYN包)但不完成握手,耗尽目标服务器的连接队列。
3、特点
-
单源攻击: 攻击流量来源于一个IP地址或少量可控的来源。
-
相对容易防御和追踪: 因为来源单一,目标系统管理员可以通过简单的防火墙规则(如屏蔽该IP)或流量过滤来缓解攻击,也比较容易追踪到攻击源头。
-
威力有限: 单台机器的带宽和处理能力通常不足以击垮拥有强大防御能力的目标(如大型网站、云服务)。现代基础设施通常能轻松抵御常规的DoS攻击。
SYN Flood攻击原理:
攻击者首先伪造地址对服务器发起SYN请求(我可以建立连接吗?),服务器就会回应一个ACK+SYN(可以+请确认)。而真实的IP会认为,我没有发送请求,不作回应。服务器没有收到回应,会重试3-5次并且等待一个SYN Time(一般30秒-2分钟)后,丢弃这个连接。
如果攻击者大量发送这种伪造源地址的SYN请求,服务器端将会消耗非常多的资源来处理这种半连接,保存遍历会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。TCP是可靠协议,这时就会重传报文,默认重试次数为5次,重试的间隔时间从1s开始每次都番倍,分别为1s + 2s + 4s + 8s +16s = 31s,第5次发出后还要等32s才知道第5次也超时了,所以一共是31 + 32 = 63s。
也就是说一个假的syn报文,会占用TCP准备队列63s之久。
4、防御策略:本地强化与协议优化
防火墙规则优化
-
IP黑名单/速率限制:设置单IP并发连接数(如≤10)及请求速率阈值(如每秒≤50次),自动拦截超频IP。
-
关闭非必要端口:仅开放业务端口(如Web仅留80/443),减少攻击面。
-
SYN Cookies启用:抵御SYN Flood攻击,避免半连接耗尽资源(Linux内核默认支持)。
系统资源与协议加固
-
缩短TCP超时:半连接超时从默认30秒降至5~10秒,加速释放资源。
-
限制ICMP/UDP流量:在路由器配置协议流量上限,过滤畸形包(如Ping of Death)。
-
硬件冗余:预留30%~50%带宽冗余,升级服务器性能(多核CPU+高速内存)。
二、DDoS (Distributed Denial of Service Attack) - 分布式拒绝服务攻击
1、核心概念
DoS攻击的进化版和主流形式。攻击者控制分布在互联网各处的大量设备(称为“僵尸”或“肉鸡”),组成一个“僵尸网络”,并协调这些设备同时向目标发动攻击。这极大地放大了攻击的规模、威力和复杂性。
2、攻击方式
-
基于僵尸网络: 攻击者通过恶意软件感染个人电脑、服务器、IoT设备(摄像头、路由器等),形成可远程控制的僵尸网络。
-
多向量攻击: 可以同时使用多种DoS技术(如UDP洪水 + HTTP洪水 + SYN洪水),从成千上万个不同IP地址发起攻击。
-
目标资源: 同样旨在耗尽目标的带宽、连接数、计算资源或应用资源。
3、特点
-
多源攻击: 攻击流量来源于海量、分布式的、地理位置分散的IP地址。
-
威力巨大: 汇聚了成千上万台设备的带宽和资源,可以产生极高的攻击流量(常以Gbps甚至Tbps计),足以压倒顶级的基础设施。
-
难以防御和追踪:
-
来源分散: 难以通过简单IP屏蔽来阻止,因为攻击IP数量庞大且在动态变化。
-
流量伪装: 攻击流量往往伪装成正常流量,难以精确过滤。
-
攻击者隐蔽: 真正的攻击者(僵尸网络控制者)隐藏在僵尸网络背后,很难直接追踪到。
-
-
更复杂: 攻击者可以利用不同的协议、端口和应用层漏洞发起攻击。
-
当前最主要的威胁: 这是当今互联网上最常见的、最具破坏性的攻击形式之一。
4、防御策略:分散压力并隐藏目标
CDN(内容分发网络)
-
缓存静态资源至全球边缘节点,用户访问就近节点,减少源站直接暴露。
-
结合IP黑名单与行为分析,过滤异常请求(如突发高频HTTP Flood)。
负载均衡与弹性伸缩
-
负载均衡器(如Nginx、F5):将流量分发至多台后端服务器,避免单点过载。
-
云平台自动扩缩容:根据流量阈值自动增减服务器实例,应对流量洪峰(如AWS Auto Scaling)。
流量清洗中心
-
通过BGP协议将攻击流量重定向至云端清洗中心(如Cloudflare、阿里云高防IP),过滤恶意流量后回注合法流量至源站。
三、DRDoS (Distributed Reflected Denial of Service Attack) - 分布式反射拒绝服务攻击
1、核心概念
这是DDoS攻击的一种特定技术变种,利用了互联网上某些协议设计的“反射”和“放大”特性。攻击者冒充受害者的IP地址(IP地址欺骗),向大量第三方公开服务器或设备(称为“反射器”)发送特定的请求。这些反射器会将大得多的响应数据包发送给受害者,从而对受害者形成攻击。
2、攻击原理
欺骗源IP: 攻击者伪造数据包的源IP地址,将其设置为受害者的IP地址。
发送小请求: 攻击者控制僵尸网络向大量可被利用的反射器(如开放的DNS解析器、NTP服务器、SNMP服务器、SSDP设备、Memcached服务器等)发送特定的、小尺寸的查询请求。
反射器响应: 反射器收到请求后,认为它来自受害者(因为源IP是受害者的),于是将响应数据包发送回受害者。关键点在于,这些响应数据包的体积通常远大于最初的请求数据包(这就是“放大”效应)。
受害者被淹没: 受害者收到来自全球各地大量反射器发来的、巨大的响应流量,其网络或服务器资源被迅速耗尽,导致服务中断。
3、特点
-
利用反射和放大: 这是其最核心的特征。攻击者本身发出的流量可能不大,但通过反射放大,到达受害者的流量可以放大几十倍、几百倍甚至数万倍。
-
高度隐匿攻击源:
-
受害者看到的攻击流量直接来源于合法的第三方反射器,而不是僵尸网络本身。
-
反射器本身也是不知情的“受害者”,它们只是正常响应了收到的请求(尽管请求是伪造的)。
-
这使得追踪真正的攻击者(僵尸网络控制者)更加困难。
-
-
攻击效率高: 用较小的攻击资源(发送小请求的带宽)就能产生巨大的攻击效果(到达受害者的放大流量)。
-
依赖存在漏洞的反射器: 这种攻击依赖于互联网上存在大量配置不当或设计上容易被滥用的开放服务(反射器)。随着对这类服务的清理和安全配置的推广,可利用的反射器在减少,但数量仍然可观。
-
常见的放大协议:
-
DNS 放大: 小查询 -> 大响应(如ANY查询)。
-
NTP 放大:
monlist命令请求 -> 返回最近连接过的客户端列表(响应很大)。 -
Memcached 放大: UDP协议下,请求小Key -> 返回大Value数据(可达数万倍放大!)。
-
SNMP 放大: 特定请求 -> 返回大量设备信息。
-
SSDP 放大: UPnP设备的发现协议,小搜索请求 -> 多设备响应。
-
4、防御策略:阻断反射源与欺骗路径
协议针对性加固
| 反射协议 | 防御措施 |
|---|---|
| DNS | 关闭递归查询,限制响应包大小 ≤ 512字节 |
| NTP | 禁用monlist命令,升级至v4以上版本 |
| Memcached | 禁用UDP端口,仅监听内网 |
网络层反欺骗
-
uRPF(单播反向路径转发):在网络设备启用,丢弃源IP与路由表不符的数据包。
-
ISP入口过滤:与运营商合作实施BCP38/RFC2827标准,阻止伪造IP流出。
主动防御技术
-
博弈模型检测:如专利CN117596597A方案,通过动态抽样检测恶意数据包,迫使攻击方放弃攻击。
-
AI行为分析:训练模型识别正常流量模式(如鼠标轨迹、请求间隔),拦截异常反射流量。