以下的文章主要向大家介绍的是DDOS攻击之互联网安全的主要威胁,DDoS即是分布式拒绝服务攻击。它是以使被攻击的服务器或者网络不能提供服务、以分布式攻击为手段的网络攻击方式。
DDoS以大量的非法数据耗尽网络带宽和服务器资源,由于分布式攻击的源头分布广泛,且攻击时使用伪造的虚假源IP地址,使这种攻击具有危害大、难以追查、难以抵挡的特点。
DDoS攻击是互联网面临的主要威胁
拒绝服务攻击的英文意思是Denial of Service,简称DoS。从网络攻击的各种方法和所产生的破坏情况来看,拒绝服务攻击是一种很简单但又很有效的进攻方式。它可以使服务器或者网络充斥大量信息,消耗网络带宽或系统资源,导致网络或系统趋于瘫痪而无法提供正常的网络服务。
分布式拒绝服务DDoS(Distributed Denial of Service)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,如商业公司,搜索引擎和政府部门的站点。分布式拒绝服务攻击是危害最大、最易于达到攻击效果、最难以抵御和追踪的一种拒绝服务攻击。
至今为止没有一家防火墙产品能非常好的抵抗这类简单攻击。虽然各种攻击手法层出不穷,但DoS攻击依然是互联网面临的主要威胁。
DDOS的主要攻击手段有:
SYN/ACK Flood攻击:表现为系统存在大量未建立连接 、系统资源占用大,特点是容易发起攻击、伪装原地址。他是通过Netstat –an 命令可以看到大量的SYN_RECEIVED 、TIME_WAIT、FIN_WAIT_1 等。
UDP、ICMP攻击:表现为系统资源占用非常大,网络资源相应占用大,特点是利用协议漏洞、资源占用、伪装原地址、不易发现, 不易防范, 同时连接数量巨大、可以显示攻击机器的真实IP地址,或者代理攻击的IP地址。
应用层脚本攻击: 表现为CPU 占用非常大,相同的URL频繁被访问、网络流量较小。特点是大量访问网页中资源占用大的脚本,造成服务器过载、可以显示出攻击的机器IP或者代理的IP、可能可以显示出攻击者的实际控制IP。
来自DDOS攻击的统计数据:
网络攻击给现在企业带来巨大的损失,自2002年开始,拒绝服务攻击造成的损失最为巨大,2003年拒绝服务攻击造成的损失占总损失的1/3,2004年占到总损失超过半数以上。
以下是一组来自美国FBI的资料:
从数据中可以看出拒绝服务攻击越来越成为非常重要的攻击手段。然而现有的抵御方法是非常落后和无用的,经验告诉我们:防火墙和路由器无法有效对付拒绝服务攻击!现在的拒绝服务已经不仅仅是一台或几台机器发起的了,攻击者们控制成百上千的僵尸计算机(Zombie),甚至由蠕虫来进行传播和攻击。DOS凭借它的便捷有效,吸引了大量热衷者,互联网上因此充斥这类垃圾流量。
【编辑推荐】