拒绝服务攻击
拒绝服务攻击可以分为两种,DDOS攻击和DOS攻击。
DDOS攻击也叫分布式拒绝服务攻击,与DOS攻击有很大区别。
DOS攻击可以理解为利用单个主机来利用目标系统应用层或系统层的漏洞,从而可以不能正常提供服务。DDOS攻击一般是通过黑客控制的大量肉鸡,结合反射放大等攻击手段,对大流量的目标进行攻击,使其不提供服务。
让让我们先讨论DDOS攻击。这些攻击通常在防火墙等网络设备可以看到目标的情况下,短时间内遭受大量流量攻击。最明显的表现就是网站的外网可以无法正常访问或访问速度非常慢,而内部网络可以正常访问,没有任何问题。此时基本可以断定目标已经受到了DDOS攻击。
对于这种攻击,没有特别好的应对方法,只给出一些网络上常见的应对建议:
1、特征丢弃(Feature discard),根据数据包的特征或访问行为(如有效载荷特征、数据包传递行为特征等)丢弃数据包。
2、速度限制,限制流量/访问速率。
3、源限制,即限制源IP或协议。
建议部署安全设备或者上云,防止DDOS攻击。
DOS攻击通常是由系统或应用程序漏洞引起的。最常见的应用层是apache s slowloris攻击,这也是最容易被awvs扫地出门的问题。msf附带了相关的扫描脚本。
此外,一些DOS攻击利用系统漏洞使服务器无法正常运行,如经典的MS12020,可以使任何开启了RDP服务且未打补丁的主机蓝屏重启,导致无法正常提供服务。
遇到此类攻击时,要逐一检查系统的开放服务。如果有相关的网络设备,我们可以监控受影响主机的流量,确认被攻击的端口和服务,然后进行后续分析。
标签:流量DDOS攻击