跳至內容

阻斷服務攻擊

出自Taiwan Tongues 台語維基
於 2025年8月23日 (六) 15:35 由 TaiwanTonguesApiRobot留言 | 貢獻 所做的修訂 (從 JSON 檔案批量匯入)

(差異) ←上個修訂 | 已批准修訂 (差異) | 最新修訂 (差異) | 下個修訂→ (差異)

阻斷服務攻擊(英語:denial-of-service attack,簡稱DoS 攻擊), 是一種網路攻擊手法,其目的是佇咧使目標電腦的網路抑是系統資源盡量,予服務暫時停止抑是停止,致使正常使用者是無法度存取。

做駭客使用網路上兩个矣以上被攻陷的電腦成做「扳屍」向特定的目標發動「阻斷服務」式攻擊的時陣,這號做分散式阻斷服務攻擊(distributed denial-of-service attack,簡稱DDoS 攻擊)亦稱大水攻擊。根據二空一四年的統計,予人確定大規模 DDoS 的攻擊已經達平均每點鐘二十八擺。DDoS 發起者一般針對重要服務佮知名網站做攻擊,如銀行、信用㧎支付遮的閘道器、甚至根域名侍服器等等。

DoS 嘛定定會看過網路的遊戲,予心懷不滿的𨑨迌者抑是競爭對手廣泛使用。DoS 就定定予人用佇咧抗議,自由軟體基金會創辦人理察 ・ 斯托曼捌表示,DoS 是「網路街頭抗議」的一个形式。

攻擊現象

美國國土安全部旗下的美國電腦緊急應變小組(US-CERT)定義的阻斷服務攻擊症狀包括:

一 . 網路異常慢(拍開檔案抑是存取網站) 二 . 特定網站無法度存取三 . 無法度存取任何網站四 . 糞埽郵件的數量急劇增加五 . 無線抑是散網路連接異常斷開六 . 長時間試看覓咧取網站或者是網際網路服務的時陣予人拒絕七 . 侍服器會斷線、卡頓、存取延遲阻斷服務的攻擊嘛可能會予目標電腦仝一網路內底的其他電腦去予人攻擊,網際網路佮區域網路之間的頻寬會予人攻擊致使大量消磨,毋但影響目標電腦,同時也影響區域網路中的其他電腦。若攻擊的彼个規模較大,規个地區的網路連接攏可能會受著影響。

到今上大規模的 DDoS 攻擊發生佇二空一七年九月。該攻擊的目標是 Google 服務,規模達到二四五四 Tbps。Google Cloud 佇二空二空年十月披露這改的攻擊。

攻擊方式

DoS 攻擊會當具體分做三種形式:頻寬仔消磨型、資源消磨型、漏洞觸發型。前兩項攏是透過大量合法抑是偽造的請求佔用大量網路佮器材資源,以達到半遂網路佮系統的目的。啊若漏洞觸發型,是觸發漏洞致使系統崩塌半遂服務。

滋闊消耗型攻擊

DDoS 沓沓仔消磨攻擊會當分做兩个無仝的層次;洪泛攻擊抑是放大攻擊。洪泛攻擊的特點是利用芳屍程式傳送大量流量到受損的受害者系統,目的佇窒窒其闊。放大攻擊佮其實類似,是通過惡意放大流量限制受害者系統的寬頻;其特點是利用芳屍程式通過偽造的源 IP(即攻擊目標 IP)向某一寡存在漏空的侍服器傳送請求,侍服器佇處理請求了後向偽造的源 IP 傳送應答,因為遮的服務的特殊性致使應答包比請求包閣較長,所以使用少量的寬頻就會當使侍服器傳送大量的應答到目標主機頂。

UDP 大水攻擊(User Datagram Protocol floods)

UDP(使用者資料報協定)是一種無連接協定,做封包通過 UDP 傳送的時,所有的封包佇傳送佮接收的時無需要進行握手驗證。做大量的 UDP 封包傳送予受害系統的時,可能會致使頻寬飽佮自按呢予得合法服務無法度請求存取受害系統。遭受 DDoS UDP 洪泛攻擊的時陣,UDP 封包的目的埠可能是隨機抑是指定的埠頭,受害系統將試處理接收著的封包以確定本地執行的服務。若無應用程式佇目標埠執行,受害系統將對源 IP 發出 ICMP 封包,顯明「目標埠頭袂當達」。 某一寡情形下,攻擊者會假造源 IP 位址以隱藏家己,按呢對受害系統倒轉來的封包袂直接轉來到摃死主機,是予傳送到予假造位址的主機。有時 UDP 洪泛攻擊嘛可能影響受害系統周圍的網路連接,這可能致使受著害系統附近的正常系統拄著問題。毋過,這會當決定網路體系結構和線速。

ICMP 大水攻擊(ICMP floods)

ICMP(網際網路控制訊息協定)洪水攻擊是通過向未良好設定的路由器傳送廣播資訊占用系統資源的做法。

資源消磨型攻擊

協定分析攻擊(SYN flood,SYN 大水)

傳送控制協定(TCP)仝步(SYN)攻擊。TCP 行程通常包括傳送者佮接受者之間佇咧封包傳送進前建立的完全訊號交換。啟動系統傳送一个 SYN 請求,接收系統倒轉來一个帶有家己 SYN 請求的 ACK(確認)做為交換。傳送系統來傳回家己的 ACK 來授權兩个系統間的通訊。若接收系統傳送 SYN 封包,毋過無收著 ACK,接受者經過一段時間了後會閣再傳送新的 SYN 封包。接受系統內底的處理器佮記憶體資源共儲存該 TCP SYN 請求一直到過時間。DDoS TCP SYN 攻擊嘛予人稱做「攻擊資源盡量攻擊」,伊利用 TCP 功能共石屍程式偽裝的 TCP SYN 請求傳送予受著害侍服器,從而飽和服務處理器資源並且阻止其有效地處理合法請求。伊專門利用傳送系統佮接收系統間的三向訊號交換來傳送大量欺騙性的原 IP 位址 TCP SYN 封包共受害系統。終其尾,大量 TCP SYN 攻擊請求改造傳送,致使受害系統記憶體佮處理器資源盡量,致使其無法度處理任何合法使用者的請求。

LAND 攻擊

這種攻擊的方式佮 SYN floods 類似,猶毋過佇 LAND 攻擊包裝的原位址佮目標位址攏是攻擊物件的 IP。這種攻擊會致使予人攻擊的機器無窮迴圈,終其尾了錢盡資源當機。

CC 攻擊(Distributed HTTP flood,散式 HTTP 大水攻擊)

CC 攻擊使用代理侍服器向受著奉服器傳送量貌若像合法的請求(通常為 HTTP GET )。攻擊者創造性地使用代理,利用講法可用的免費代理侍服器發動 DDoS 攻擊。誠濟免費代理侍服器支援匿名,這使追蹤變甲非常困難。


二空空四年,一个崁名做 KiKi 中國駭客開發一種用於發送 HTTP 請求的 DDoS 攻擊工具以攻擊名做「Collapsar」的 NSFOCUS 防火牆,因此這種駭客工具予人叫做「Challenge Collapsar」(挑戰烏空,簡稱 CC), 這類的攻擊予人稱做「CC 攻擊」。

鋪屍網路攻擊

鋪屍網路是講大量被命令佮控制(C & C)侍服器所控制的網際網路主機群。攻擊者傳播惡意軟體並組成家己的被屍網路。鋪屍網路誠歹檢測的原因是,鋪屍主機干焦咧執行特定指令的時才會佮侍服器進行通訊,使得𪜶隱遮爾仔無好看。鋪屍網路根據網路通訊協定的無仝分做 IRC、HTTP 抑是 P 二 P 類等。

應用程式級大水來攻擊(Application level floods)

佮頭前講的攻擊方式無仝,應用程式級大水攻擊主要是針對應用軟體層的,也就是懸於著 OSI 的。伊仝款是以大量消磨系統資源為目的,通過向 IIS 按呢的網路服務程式提出無節制的資源申請來破壞正常的網路服務。

漏洞觸發型

這類攻擊手法,透過試看覓發緩衝區溢个等等漏洞,使作業系統發生核心錯誤抑是藍白當機,達到阻斷服務攻擊。

死亡之 Ping(ping of death)

死亡之 Ping 是產生超過 IP 協定會當吞忍的封包數,若系統無檢查機制,就會延機。

淚滴攻擊

每一个資料欲傳送進前,該封包攏會經過切割,逐个小切割攏會記錄位移的資訊,通好重組,毋過這个攻擊模式就是捏造位移資訊,造成重組的時陣發生問題,造成錯誤。

防禦方式

阻斷服務攻擊的防禦方式通常為入侵檢測,流量過濾佮偌重的驗證,旨咧窒網路頻寬的流量將被過濾,正常的流量會當正常過。

防火牆

防火牆會當設定規則,比如講允准抑是拒絕特定通訊協定,埠抑是 IP 位址。做攻擊對少數無正常的 IP 位址發出的時陣,會當簡單的使用拒絕規則阻止一切對攻擊源 IP 發出的通批。

複雜攻擊是歹用簡單規則來阻止,比如講八十埠(網頁服務)遭受攻擊的時無可能拒絕埠頭所有的通信,因為其同時會阻止合法流量。此外,防火牆可能佮網路架構過了後的位置,路由器可能佇咧惡意流量達到防火牆頭前就予人攻擊影響。毋過,防火牆能有效地防止使用者對啟動防火牆了後的電腦發起攻擊。

交換機

大多數的交換機有一定的速度限制佮存取控制能力。有寡交換機提供自動的速度限制、流量整形、尾期連接、深度包檢測佮假 IP 過濾功能,會使檢測並過濾斷服務攻擊。比如講 SYN 大水攻擊會當通過後期連接加以預防。是因為內容的攻擊會當利用深度包檢測阻止。

路是由器

和交換機類似,路由器也有一定的速度限制佮存取控制能力,大多數的路是誠簡單受著攻擊影響。

烏櫳櫳引導

烏空引導指將所有受攻擊電腦的通信攏總傳送到一个「烏櫳櫳」(空介面抑是不存在的電腦位址)抑是有夠能力處理洪流的網路裝置商,以避免網路受著較大的影響。

流量洗清氣

當咧取得著流量的時,通過 DDoS 防禦軟體的處理,將正常流量佮惡意流量區分開,正常的流量轉去共客戶的網站注轉去,反則則封鎖。按呢來可能徛點會當保持正常的運作,干焦處理真實使用者存取網站帶來的合法流量。

參見

  • 入侵預防系統
  • DDoS 緩解
  • LOIC
  • 大炮 ( 網路攻擊工具 )

參考來源

取自「https://wiki.taigi.ima.org.tw/w/index.php?title=阻斷服務攻擊&oldid=466929