基本原理
利用域名解析服务器不验证请求源的弱点,攻击者伪装成攻击目标域名向全世界数以百万计的域名解析服务器发送查询请求,域名服务器返回的数据要远大于请求的数据,导致目标遭受了放大数十倍的DDoS攻击。被利用的域名服务器因此每天会收到大量的恶意请求,它也不断的遭受较小规模的DDoS攻击。
攻击原理所谓的拒绝服务攻击就是通过占满服务器的所有服务线程或者网络带宽,导致正常的服务请求无法得到响应,致使服务器处于瘫痪的状态。DoS攻击一般是针对WWW服务器,SMTP服务器等。众所周知,正常的一次TCP会话首先通过三次协商握手才能完成,首先客户机向目标服务器发送带有SYN的会话请求,然后服务器向客户机向客户机发送回复消息,最后还需客户机再回送一个确认消息。如果客户机发送的请求包里面的源IP地址是不可达的IP地址,那么服务器发出的回复消息将永远得不到确认,此时服务器一位是网络拥塞等问题,一直再等待确认消息和重发回消息,而且时间周期越来越长。试想如果客户机发送大量的这样的无效请求,那么服务器的服务线程就会瞬时被占满。1
攻击方式DoS是Denial of Service的简称,即拒绝服务攻击,造成攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。2
1、带宽攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。
2、连通性攻击。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。常用的攻击手段有:同步洪流、Land攻击、Ping洪流、UDP攻击、OOB等。
防范措施具体的防范措施如下:
1、防止此类攻击的一种方法是实现DNSSEC,验证DNS请求源的身份。但旧的DNS基础架构很难改变。现在,推出了虚拟DNS服务,为域名解析服务器提供基于云端的DNS查询和缓存代理服务,验证请求源的身份。 3
2、防火墙防御。防火墙是防御DoS攻击最有效的方法。目前很多厂商的防火墙都注入了专门针对DoS攻击的功能。现在防火墙中防御DoS攻击的主流技术主要有两种:连接监控和同步网关。1
3、路由器防御。路由器作为整个互联网的组网设备,可以通过路由器一些访问控制和QoS设置功能来达到防御DoS的目的。1
4、系统防御。每个操作系统都有一些参数用来设置TCP/IP的运行性能,修改这些参数用来防御DoS也有一定效果,但是这只是辅助措施。1