在服務(wù)器遭遇的攻擊中�����,DDoS(DistributedDenialofService,分布式拒絕服務(wù))攻擊是一種非常可伯的黑客行為�����,它可以讓一個大型服務(wù)器群也能很快地出現(xiàn)訪問故障�����。隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布����,DDOS拒絕服務(wù)攻擊的實施越來越容易,DDOS攻擊事件正在成上升趨勢�����。很多IDC托管機房���、商業(yè)站點����、游戲服務(wù)器.聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDOS攻擊所困擾����。
DDOS的攻擊策略側(cè)重于通過很多“僵尸主機”(被攻擊者人侵過或可間接利用的主機)向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包����,從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)�,如圖所示。
分布式拒絕服務(wù)攻擊一旦被實施����,攻擊網(wǎng)絡(luò)包就會猶如洪水艤涌向受害主機,從而把合法用戶的網(wǎng)絡(luò)包淹沒�,導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源,因此�����,拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”��,常見的DDOS攻擊手段有SYNFlood����、ACKFlood、UDPFlood���、ICMPFlood、TCPFlood����、ConnectionsFlood,ScriptFlood���、ProxyFloor!等。
隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展�,計算機的處理能力迅速增長,內(nèi)存大大增加�,這使得DDoS攻擊的困難程度加大了。目標(biāo)對惡意攻擊包的“消化能力”加強了不少���,例如黑客的攻擊軟件每秒鐘可以發(fā)送3�����,000個攻擊包�,但目標(biāo)主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10�����,000個攻擊包����,這樣一來攻擊就不會產(chǎn)生什么效果。
當(dāng)目標(biāo)計算機遭遇DDoS攻擊時���,可能會產(chǎn)生如下幾種現(xiàn)象
*被攻擊主機上有大童等待的TCP連接���。如�����,原來可以很流暢地打開幾十個IE瀏覽器窗口�,現(xiàn)在只能很困難地打開I~2個后�,別的都處于等待中。
*網(wǎng)絡(luò)中充斥著大童的無用的數(shù)據(jù)包�,源地址為假。如�����,沒有進行任何網(wǎng)絡(luò)操作���,可是交換機上的數(shù)據(jù)燈卻在狂閃����。
*制造高流童無用數(shù)據(jù)����,造成網(wǎng)絡(luò)擁塞,使受害主機無法正常和外界通汛;當(dāng)對方的攻擊極為猛烈�����,已經(jīng)遠(yuǎn)遠(yuǎn)超出目標(biāo)主機的帶寬消化能力時����,目標(biāo)主機將無法進行任何網(wǎng)絡(luò)操作。
*利用受害主機提供的服務(wù)或傳輸協(xié)議上的缺陷����,反復(fù)高速地發(fā)出特定的服務(wù)清求,使受害主機無法及時處理所有正常清求���。
*嚴(yán)重時會造成xp系統(tǒng)死機����。
