欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

　　DDoS是英文Distributed Denial of Service的縮寫(xiě)，即“分布式拒絕服務(wù)”。凡是能導致合法用戶(hù)不能夠正常訪(fǎng)問(wèn)網(wǎng)絡(luò )服務(wù)的行為都是DoS攻擊，或拒絕服務(wù)攻擊。在各種DoS攻擊中，DDoS攻擊策略側重于通過(guò)很多“僵尸主機”(被攻擊者入侵過(guò)或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò )包，從而造成網(wǎng)絡(luò )阻塞或服務(wù)器資源耗盡而導致拒絕服務(wù)。DDoS攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò )包就會(huì )猶如洪水般涌向受害主機，從而把合法用戶(hù)的網(wǎng)絡(luò )包淹沒(méi)，導致合法用戶(hù)無(wú)法正常訪(fǎng)問(wèn)服務(wù)器資源，因此，拒絕服務(wù)攻擊又被稱(chēng)之為“洪水式攻擊”，常見(jiàn)的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。由于網(wǎng)絡(luò )的分布式和開(kāi)放式特性，使得DDos攻擊很難防范。

　　目前DDoS攻擊的發(fā)展主要有4個(gè)趨勢：(1)廣分布的高強度攻擊;(2)偽造源IP地址;(3)數據包結構位的隨機性;(4)使用多種協(xié)議及多種形式。這4個(gè)趨勢使得DDoS攻擊的檢測和防御變得更加困難。

　　2. DDoS的檢測

　　DDoS的表現形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò )帶寬的攻擊，即大量攻擊包導致網(wǎng)絡(luò )帶寬被耗盡，正常的網(wǎng)絡(luò )包無(wú)法到達主機;另一種為資源耗盡攻擊，主要是針對服務(wù)器主機的攻擊，即通過(guò)大量攻擊包導致主機的內存、CPU或某個(gè)緩沖區耗盡而無(wú)法提供正常的服務(wù)。

　　在遭受流量攻擊，同一交換機上的主機都會(huì )受到影響。這時(shí)Ping同一個(gè)交換機上的主機會(huì )超時(shí)。理論上，如果攻擊者能夠發(fā)動(dòng)超過(guò)主機帶寬的傀儡機(群)發(fā)動(dòng)流量攻擊，并使用合法的方式與主機進(jìn)行通信，主機一定難以幸免。流量攻擊通常是從傀儡機發(fā)送大量無(wú)用的數據包將主機帶寬或者主機所在的交換機(路由器)帶寬耗盡。如果主機所在網(wǎng)絡(luò )的帶寬較小，比如10M，則無(wú)論怎樣都無(wú)法應對流量攻擊。要對付流量攻擊，至少要有100M或更高的網(wǎng)絡(luò )帶寬。

　　假如主機的服務(wù)非常緩慢或無(wú)法訪(fǎng)問(wèn)，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是，Ping受害主機Ping超時(shí)，而Ping與受害主機在同一交換機上的主機則正常，造成這種原因是受害主機遭受攻擊后CPU利用率達到100%無(wú)法回應Ping命令，其實(shí)帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。很多情況下，資源耗盡型攻擊和流量攻擊是同時(shí)進(jìn)行的，比如SYN flood。通常資源耗盡型攻擊比流量攻擊流量耗盡型攻擊需要的傀儡機要少，因此更容易攻擊成功。

　　當前資源耗攻擊主要有三種類(lèi)型：

　　1、無(wú)連接攻擊：

　　這種攻擊方法主要利用IP、TCP、ICMP等協(xié)議的漏洞，在無(wú)連接情況下或者連接建立過(guò)程中完成攻擊。主要是通過(guò)向受害主機發(fā)送大量偽造源IP和源端口的SYN、ACK、UDP、 ICMP包等，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務(wù)，由于源都是偽造的,故追蹤起來(lái)比較困難。對于SYN Flood攻擊，在服務(wù)器上用Netstat -na命令會(huì )觀(guān)察到存在大量的SYN_RECEIVED狀態(tài)。

　　2、TCP全連接攻擊：

　　當主機突然收到比平時(shí)多得多的“合法”連接請求時(shí)，基本可以判定是這種類(lèi)型。由于攻擊采用的方式幾乎無(wú)法與真正的合法流量區分，使得這種攻擊很難自動(dòng)防御。但是這種攻擊會(huì )暴露傀儡機的IP地址，從而相對容易跟蹤。然而DDoS攻擊的追蹤不僅是要找到傀儡機，還要找到隱藏在傀儡機背后的黑客主機。好的DDoS攻擊工具可以偽造黑客主機的IP地址，使得對黑客主機的追蹤要比對傀儡機的追蹤困難的多。TCP全連接攻擊的另一個(gè)缺點(diǎn)是需要控制大量的傀儡機來(lái)模擬合法的連接。

　　3、Script腳本攻擊：

　　這種攻擊是TCP全連接攻擊的升級版，但是需要的傀儡機數量相對少一些。主要是針對存在于A(yíng)SP、JSP、PHP、CGI等的腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數據庫的網(wǎng)站系統而設計的，對靜態(tài)網(wǎng)頁(yè)的服務(wù)器攻擊效果不大。其特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢(xún)、列表等大量耗費數據庫資源的調用。一般來(lái)說(shuō)，提交一個(gè)GET或POST指令對客戶(hù)端的耗費和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬(wàn)條記錄中去查出某個(gè)記錄，這種處理過(guò)程對資源的耗費是很大的。攻擊之后常見(jiàn)的現象ASP程序失效、PHP連接數據庫失敗、數據庫主程序占用CPU偏高。

　　籠統的講，抵御無(wú)連接攻擊主要是分析IP包，而對于有連接的攻擊則需要分析包的內容。

　　3. DDoS的追蹤

　　DDoS的追蹤主要有兩個(gè)目的：1是通過(guò)追蹤攻擊源獲取攻擊包的特征從而對流量進(jìn)行過(guò)濾或者聯(lián)系ISP尋求幫助;2是找到攻擊源并搜集攻擊證據，從而有可能通過(guò)法律手段對攻擊者進(jìn)行懲罰。無(wú)論能否最終找到攻擊源，DDoS攻擊的追蹤技術(shù)對于DDoS的防御都是十分重要的。目前主要的DDoS追蹤技術(shù)有Packet Marking、ICMP追蹤、Logging以及Controlled Flooding。這些跟蹤技術(shù)一般都需要路由器的支持，實(shí)際中也需要ISP的協(xié)助。

　　Packet Marking是一大類(lèi)方法，其基本思想是路由器在IP包中的Identification域加入額外信息以幫助確定包的來(lái)源或路徑。由于IP包的Identification域在因特網(wǎng)中被使用到的比率只有0.25%，因此在大多數包中添加路由信息是十分可行。當然如果對每個(gè)包都做處理沒(méi)有必要，因此大多數Packet Marking方法都是以一個(gè)較低的概率在IP包中加入標記信息。Packet Marking方法需要解決的主要問(wèn)題是：由于IP包的Identification域只有16比特，因此加入的信息量很受限制，如果要追蹤源地址或者路徑就要精心構造加入的信息，這涉及到路由器如何更新已有的標記信息，如何降低標記信息被偽造的可能，如何應對網(wǎng)絡(luò )中存在不支持Packet Marking的路由器的情況。比如，采用用異或和移位來(lái)實(shí)現標記信息的更新。

　　Controlled Flooding是Burch和 Cheswick提出的方法。這種方法實(shí)際上就是制造flood攻擊，通過(guò)觀(guān)察路由器的狀態(tài)來(lái)判斷攻擊路徑。首先應該有一張上游的路徑圖，當受到攻擊的時(shí)候，可以從受害主機的上級路由器開(kāi)始依照路徑圖對上游的路由器進(jìn)行受控的flood，因為這些數據包同攻擊者發(fā)起的數據包共享了路由器，因此增加了路由器丟包的可能性。通過(guò)這種沿路徑圖不斷向上進(jìn)行，就能夠接近攻擊發(fā)起的源頭。Controlled Flooding最大的缺點(diǎn)就是這種辦法本身就是一種DOS攻擊，會(huì )對一些信任路徑也進(jìn)行DOS。而且，Controlled Flooding要求有一個(gè)幾乎覆蓋整個(gè)網(wǎng)絡(luò )的拓撲圖。Burch和 Cheswick也指出，這種辦法很難用于DDOS攻擊的追蹤。這種方法也只能對正在進(jìn)行攻擊有效。

　　ICMP追蹤主要依靠路由器自身產(chǎn)生的ICMP跟蹤消息。每個(gè)路由器都以很低的概率(比如：1/20000)，將數據包的內容復制到一個(gè)ICMP消息包中，并且包含了到臨近源地址的路由器信息。當DDoS攻擊開(kāi)始的時(shí)候，受害主機就可以利用這些ICMP消息來(lái)重新構造攻擊者的路徑。這種方法的缺點(diǎn)是ICMP可能被從普通流量中過(guò)濾掉，并且，ICMP追蹤消息依賴(lài)于路由器的相關(guān)功能，但是，可能一些路由器就沒(méi)有這樣的功能。同時(shí)ICMP Tracking必須考慮攻擊者可能發(fā)送的偽造ICMP Traceback消息。

　　Logging通過(guò)在主路由器上記錄數據包，然后通過(guò)數據采集技術(shù)來(lái)決定這些數據包的穿越路徑。雖然這種辦法可以用于對攻擊后的數據進(jìn)行追蹤，但也有很明顯的缺點(diǎn)，如要求記錄和處理大量的信息。

　　需要指出，如果攻擊者對攻擊程序設計得足夠精細，則要想找到真正的攻擊者幾乎是不可能的。比如攻擊者可以使用兩層甚至更多層傀儡機實(shí)施攻擊，而對靠近攻擊者的傀儡機做徹底的日志清理，使得跟蹤技術(shù)無(wú)法找到攻擊者。另外對于反射式攻擊，由于攻擊包是合法的，想要追蹤到傀儡機本身就已經(jīng)非常困難了。

　　4. DDoS的緩解

　　一個(gè)好的DDoS防御系統應該能做到快速的DDoS攻擊檢測和緩解，對攻擊流量的處理不影響或少影響合法用戶(hù)的流量，對網(wǎng)絡(luò )配置的要求要低。目前還沒(méi)有哪個(gè)系統能夠很100%地達到以上目標，不過(guò)確實(shí)存在一些有效措施來(lái)緩解DDoS攻擊。

　　主要的DDoS緩解方法包括以下幾個(gè)方面：

　　1、Filter。對于特征明顯的DDoS攻擊包，在路由器或者防火墻就可以搞定。當然，如果跟蹤技術(shù)能夠確定攻擊包的來(lái)源則可以設置路由器或防火墻過(guò)濾掉所有來(lái)自攻擊源的包，在攻擊源被偽造的情況下，是通過(guò)識別攻擊包的一些特征來(lái)實(shí)現的。然而有些攻擊包并不容易識別出來(lái)。

　　2、隨機丟包。如果不能非常有把握地識別攻擊包，但是能對攻擊包的做概率性的判斷，則可以用隨機丟包的方法來(lái)過(guò)濾一大部分的攻擊流量，然而使用這種方法就必須考慮如何能夠使合法用戶(hù)的流量被盡可能好的保留?？梢约由弦恍┫拗茥l件，如果判定一個(gè)包“一定是”合法的，則不對它做丟包。

　　3、SYN Cookie等特定防御辦法。針對一些固定的攻擊手段來(lái)防御和過(guò)濾。這類(lèi)方法主要是減少主機對一些可能的攻擊的容忍能力。比如為了減輕SYN Flood攻擊占用TCP半連接隊列，在SYN Cookie的執行過(guò)程中，當服務(wù)器接收到一個(gè)SYN包的時(shí)候，返回一個(gè)SYN-ACK包，這個(gè)數據包的ACK序列號是經(jīng)過(guò)加密的，也就是說(shuō)，它由源地址，端口源次序，目標地址，目標端口和一個(gè)加密種子計算得出。然后SYN釋放所有的狀態(tài)。如果一個(gè)ACK包從客戶(hù)端返回，服務(wù)器將重新計算它來(lái)判斷它是不是上個(gè)SYN-ACK的返回包。如果這樣，服務(wù)器就可以直接進(jìn)入TCP連接狀態(tài)并打開(kāi)連接。這樣，服務(wù)器就可以避免守侯半開(kāi)放連接了。

　　4、被動(dòng)消極忽略。一般正常連接失敗會(huì )重新嘗試，但是攻擊者一般不會(huì )重新。所以可以臨時(shí)拋棄第一次連接請求而接受第二次或者第三次連接請求。

　　5、統計分析。即通過(guò)統計分析來(lái)得到攻擊包的指紋，然后根據指紋來(lái)拋棄攻擊包。思路很簡(jiǎn)單，關(guān)鍵是要保證合法的流量被誤檢和非法流量被漏檢的概率足夠低。這也是很多研究者研究的主要課題，目的就是識別攻擊包。識別攻擊報所需要的信息可能包括：流量速率大小、包大小和端口的分布、包到達時(shí)間的分布、并發(fā)流量數、高級協(xié)議特征、出入的速率、流量分類(lèi)(源IP 源端口、目的端口、協(xié)議類(lèi)型、連接量)、高層層協(xié)議分析：比如針對http的攻擊。所有模式識別中的分類(lèi)方法以及優(yōu)化方法，比如人工神經(jīng)網(wǎng)絡(luò )等等都可以應用于統計和分析。不過(guò)，這種方法的實(shí)施難度較大，一個(gè)魯棒的，自動(dòng)更新識別函數的統計分析系統構造起來(lái)相當不容易。

　　5. 總結

　　DDoS攻擊，這一對互聯(lián)網(wǎng)危害極大的攻擊，正在變得越來(lái)越頻繁，越來(lái)越難以防范。本文介紹典型的DDoS檢測、跟蹤和緩解辦法。目前尚無(wú)一種方法能夠徹底根除DDoS隱患，大多數實(shí)際運作的系統都是多種防范和應對手段的集合體。一個(gè)實(shí)際的DDoS防御體系通常需要受保護主機與相鄰網(wǎng)絡(luò )以及ISP的有效溝通與合作。作者任沛然