拒绝服务攻击(denial-of-service attack), 也叫 DoS 攻击,是一种网络攻击方式。DoS 攻击主要是不断地利用流量的访问目标服务器或不断发送令其触发崩溃的消息。其目的是使得目标服务器暂时性或者永久地中断网络连接服务,使得正常用户无法访问其服务器主机。

分布拒绝服务攻击(distribute denial-of-service attack),也叫 DDoS 攻击。就是分布式地(从不同的源头)发送 DoS 攻击,大大增强了 DoS 攻击的有效性。一般 DDoS 会利用“肉鸡”发起 Dos 攻击。

虽然 DoS 攻击通常不会直接导致重要信息或者资产盗窃或者丢失,但是会对服务器的正常运行造成巨大影响,从而花费大量的时间和金钱来处理。

分类

泛洪攻击(Flood attacks)

泛洪攻击就是不断向服务器发送流量,当服务器系统收到过多的流量,会进行缓冲,导致减速并最终停止运行。为了能使DoS泛洪攻击能够有效的成功,进攻者必须要有比目标服务器更多的可用带宽。较流行的泛洪攻击:

  • ICMP flood
    ICMP(Internet Control Message Protocol/互联网控制协议)泛洪攻击,也叫smurf food或者ping of death。它是利用一些错误配置的网络设备来代替某台特定的计算机,向目标服务器发送欺骗性的数据包,从而放大流量。
  • SYN flood
    进攻者发送大量的TCP/SYN请求发送给目标服务器,导致目标服务器通过发送回TCP/SYN-ACK产生半开连接,等待请求的ACK响应的数据包。进攻者利用TCP三次握手协议,发起了大量的握手请求,但并不回应第三次握手的ACK数据,从而使服务端处于等待响应的状态。

奔溃攻击(Crash attacks)

奔溃攻击就是利用目标服务器的漏洞,从而进攻服务器,使其系统崩溃。

  • Buffer overflow
    不断发送能够触发目标服务器漏洞的请求,从而导致服务器上的应用混淆并填满磁盘空间,或者占有可用内存或CPU。

防御措施

扩大带宽

带宽直接决定其能承受抗攻击的能力。理论上越大的带宽越是能抵抗DoS攻击,但越大的带宽越需要的更多金钱。

IP限制

对于恶意的IP进行封杀

CDN

将网站的内容部署到多个服务器,用户可以就近访问,提高速度。

参考连接