什么是DRDoS

? ? ? ? DRDoS分布反射式拒絕服務(wù)攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前占領(lǐng)大量的“肉雞”。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是可以在廣域網(wǎng)上進(jìn)行的，而Smurf攻擊是在局域網(wǎng)進(jìn)行的。它的作用原理是基于廣播地址與回應(yīng)請(qǐng)求的。一臺(tái)計(jì)算機(jī)向另一臺(tái)計(jì)算機(jī)發(fā)送一些特殊的數(shù)據(jù)包如ping請(qǐng)求時(shí)，會(huì)接到它的回應(yīng);如果向本網(wǎng)絡(luò)的廣播地址發(fā)送請(qǐng)求包，實(shí)際上會(huì)到達(dá)網(wǎng)絡(luò)上所有的計(jì)算機(jī)，這時(shí)就會(huì)得到所有計(jì)算機(jī)的回應(yīng)。這些回應(yīng)是需要被接收的計(jì)算機(jī)處理的，每處理一個(gè)就要占用一份系統(tǒng)資源，如果同時(shí)接到網(wǎng)絡(luò)上所有計(jì)算機(jī)的回應(yīng)，接收方的系統(tǒng)是有可能吃不消的，就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己，不過這種方法被黑客加以改進(jìn)就具有很大的威力了。黑客向廣播地址發(fā)送請(qǐng)求包，所有的計(jì)算機(jī)得到請(qǐng)求后，卻不會(huì)把回應(yīng)發(fā)到黑客那里，而是發(fā)到被攻擊主機(jī)。這是因?yàn)楹诳兔俺淞吮还糁鳈C(jī)。黑客發(fā)送請(qǐng)求包所用的軟件是可以偽造源地址的，接到偽造數(shù)據(jù)包的主機(jī)會(huì)根據(jù)源地址把回應(yīng)發(fā)出去，這當(dāng)然就是被攻擊主機(jī)的地址。黑客同時(shí)還會(huì)把發(fā)送請(qǐng)求包的時(shí)間間隔減小，這樣在短時(shí)間能發(fā)出大量的請(qǐng)求包，使被攻擊主機(jī)接到從被欺騙計(jì)算機(jī)那里傳來的洪水般的回應(yīng)，就像遭到了DDoS攻擊導(dǎo)致系統(tǒng)崩潰。駭客借助了網(wǎng)絡(luò)中所有計(jì)算機(jī)來攻擊受害者，而不需要事先去占領(lǐng)這些被欺騙的主機(jī)，這就是Smurf攻擊。而DRDoS攻擊正是這個(gè)原理，黑客同樣利用特殊的發(fā)包工具，首先把偽造了源地址的SYN連接請(qǐng)求包發(fā)送到那些被欺騙的計(jì)算機(jī)上，根據(jù)TCP三次握手的規(guī)則，這些計(jì)算機(jī)會(huì)向源IP發(fā)出SYN+ACK或RST包來響應(yīng)這個(gè)請(qǐng)求。同Smurf攻擊一樣，黑客所發(fā)送的請(qǐng)求包的源IP地址是被攻擊主機(jī)的地址，這樣受欺騙的主機(jī)就都會(huì)把回應(yīng)發(fā)到被攻擊主機(jī)處，造成被攻擊主機(jī)忙于處理這些回應(yīng)而癱瘓。

解釋:

　　SYN:(Synchronize sequence numbers)用來建立連接，在連接請(qǐng)求中，SYN=1，ACK=0，連接響應(yīng)時(shí)，SYN=1，ACK=1。即，SYN和ACK來區(qū)分Connection Request和Connection Accepted。

　　RST:(Reset the connection)用于復(fù)位因某種原因引起出現(xiàn)的錯(cuò)誤連接，也用來拒絕非法數(shù)據(jù)和請(qǐng)求。如果接收到RST位時(shí)候，通常發(fā)生了某些錯(cuò)誤。

　　ACK:(Acknowledgment field significant)置1時(shí)表示確認(rèn)號(hào)(Acknowledgment Number)為合法，為0的時(shí)候表示數(shù)據(jù)段不包含確認(rèn)信息，確認(rèn)號(hào)被忽略。

　　TCP三次握手:

　　假設(shè)我們要準(zhǔn)備建立連接，服務(wù)器正處于正常的接聽狀態(tài)。

　　第一步:我們也就是客戶端發(fā)送一個(gè)帶SYN位的請(qǐng)求，向服務(wù)器表示需要連接，假設(shè)請(qǐng)求包的序列號(hào)為10，那么則為:SYN=10，ACK=0，然后等待服務(wù)器的回應(yīng)。

　　第二步:服務(wù)器接收到這樣的請(qǐng)求包后，查看是否在接聽的是指定的端口，如果不是就發(fā)送RST=1回應(yīng)，拒絕建立連接。如果接收請(qǐng)求包，那么服務(wù)器發(fā)送確認(rèn)回應(yīng)，SYN為服務(wù)器的一個(gè)內(nèi)碼，假設(shè)為100，ACK位則是客戶端的請(qǐng)求序號(hào)加1，本例中發(fā)送的數(shù)據(jù)是:SYN=100，ACK=11，用這樣的數(shù)據(jù)回應(yīng)給我們。向我們表示，服務(wù)器連接已經(jīng)準(zhǔn)備好了，等待我們的確認(rèn)。這時(shí)我們接收到回應(yīng)后，分析得到的信息，準(zhǔn)備發(fā)送確認(rèn)連接信號(hào)到服務(wù)器。

　　第三步:我們發(fā)送確認(rèn)建立連接的信息給服務(wù)器。確認(rèn)信息的SYN位是服務(wù)器發(fā)送的ACK位，ACK位是服務(wù)器發(fā)送的SYN位加1。即:SYN=11，ACK=101。

　　這樣我們的連接就建立起來了。

防御方法:

確保服務(wù)器的系統(tǒng)文件是最新的版本，并及時(shí)更新系統(tǒng)補(bǔ)丁。

關(guān)閉不必要的服務(wù)。

限制同時(shí)打開的SYN半連接數(shù)目。

縮短SYN半連接的time out 時(shí)間。

正確設(shè)置防火墻

禁止對(duì)主機(jī)的非開放服務(wù)的訪問

限制特定IP地址的訪問

啟用防火墻的防DDoS的屬性

嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問

運(yùn)行端口映射程序禍端口掃描程序，要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。

認(rèn)真檢查網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或是時(shí)間變更，那這臺(tái)機(jī)器就可能遭到了攻擊。

限制在防火墻外與網(wǎng)絡(luò)文件共享。這樣會(huì)給黑客截取系統(tǒng)文件的機(jī)會(huì)，主機(jī)的信息暴露給黑客，無疑是給了對(duì)方入侵的機(jī)會(huì)

路由器

以Cisco路由器為例

Cisco Express Forwarding(CEF)

使用 unicast reverse-path

訪問控制列表(ACL)過濾

設(shè)置SYN數(shù)據(jù)包流量速率

升級(jí)版本過低的ISO

為路由器建立log server

能夠了解DDoS攻擊的原理，對(duì)我們防御的措施在加以改進(jìn)，我們就可以擋住一部分的DDoS攻擊，知己知彼，百戰(zhàn)不殆嘛。

總結(jié)

以上是生活随笔為你收集整理的DRDoS分布反射式拒绝服务攻击（什么是DRDoS）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。