DDOS攻击

DDOS又称分布式拒绝服务攻击,利用合理的理由造成资源过载,导致资源不可用从而导致DDOS

本质

对有限资源的无限滥用

网络层DDOS

SYN flood

常见网络层的DDOS攻击有 SYN flood,UDP flood,ICMP flood等,其中,SYN flood是一种最为经典的DDOS攻击

TCP三次握手

1. 客户端向服务端发送一个SYN包,包含客户端使用的端口号和初始序列号x
2. 服务端收到客户端的SYN包后,向客户端发送SYN和ACK位置的TCP报文,包含确认号x+1和服务器端的初始序列号y
3. 客户端收到服务器端返回的SYN+ACK报文后,向服务端返回一个确认号为y+1,序列号为x+1的ACK报文

在发生SYN flood攻击时,首先伪造大量的源IP,分别向服务端发送大量SYN包,此时服务端会返回SYN+ACK包,因为原地址是伪造的,所以伪造IP不会应答,服务端没有收到伪造IP的回应,会重试3-5次,并等待一个SYN Time(30s-120s),如果超时,则丢弃链接.攻击者大量发送这种伪造源地址的SYN请求,服务端会消耗非常多的资源处理这种办半连接,同时还要不断对这些IP进行SYN+SAK重试,最后导致服务器无暇理睬正常的连接请求,导致拒绝服务

应用层DDOS

CC攻击

对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的(在Web应用中,查询数据库,读写硬盘文件等操作,相对都会消耗较多资源)

漏洞利用

1. 通过大范围查询数据库
2. 网站爬虫
3. 引流到目标网站

漏洞修复

1. 限制请求频率
2. 利用负载均衡,CDN和镜像站点分流

HTTP POST DOS

发送HTTP包时,指定一个非常大的Content-Length值,然后以很低的速度发包,保持这个连接不断开,当连接客户端多增多,占用了Web Service的所有可用连接,从而导致DOS