浅谈Excel在外贸会计核算中的应用.docVIP

浅谈DDoS攻击 　　摘 要：拒绝服务是用分布式的客户端，向服务者发起大量看似合法的请求，消耗或长期占用大量资源，从而达到拒绝向受众提供服务的目的。针对基于JavaScript的DDOS攻击，防御这一攻击的唯一方式是全面启用HTTPS。 中国论文网 /4/view-7159620.htm 　　关键词：拒绝服务；DDOS攻击；防御 　　1 概述 　　DDOS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，用分布式的客户端，向服务者发起大量看似合法的请求，消耗或长期占用大量资源，从而达到拒绝向受众提供服务的目的。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。DOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等。 　　2 发展 　　曾经有安全专家把DDoS攻击比作互联网“核武器”：一旦调动足够数量遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器，就可以瘫痪掉任何互联网业务。尽可能地对被攻击目标造成最大程度的资源破坏是DDoS攻击的初衷。站在这个角度上来看DDoS攻击的发展，可以梳理出清晰的脉络，DDoS攻击的发展趋势呈明显的三个阶段性。 　　第一阶段，由个人计算机组建僵尸网络，发动DDoS攻击； 　　第二阶段，利用互联网开放服务器（如DNS、NTP）发起反射攻击； 　　第三阶段，利用智能/IoT设备协议（如SSDP）的脆弱性发起反射攻击。 　　拒绝服务攻击存在的根源是Internet架构自身缺陷，由于最初Internet架构未考虑拒绝服务攻击，从而导致几乎所有Internet服务均易遭受拒绝服务攻击。纵观近五年DDoS攻防双方的对抗交锋，攻击方技术不断演进，将“以大欺小”（流量型攻击）与“以小搏大”（资源耗尽型）两种攻击方式组合起来，利用逐渐提高的网络带宽增强攻击力等；而防守方则通过流量清洗设备等多种手段予以应对。 　　最为传统的DDoS攻击多利用僵尸主机（Zombies，又叫“肉鸡”）组成僵尸网络来发起。“肉鸡”是指中了木马，或者被一些人留了后门的计算机，成为“肉鸡”的计算机可以被黑客远程操控。“肉鸡”的存在多由于用户系统存在各种脆弱性导致，系统一旦被入侵，黑客可获得控制权。黑客在这些“肉鸡”所有者不知情的情况下，发起对既定攻击目标的攻击。“肉鸡”对于互联网，特别是网站系统的威胁是很大的。即便单个“肉鸡”的攻击能力有限，但如果“肉鸡”数量很多，汇总后的攻击流量也将是惊人的。 　　虽然肉鸡的效果显著，但是无论组建还是僵尸网络的维护都需要较高的成本，伴随黑客不断对更低成本获得更大效果的追求，利用互联网开放服务器发起反射拒绝服务攻击逐渐流行。反射拒绝服务攻击又称DRDoS攻击，或分布式反射拒绝服务攻击。其原理是黑客伪造成被攻击者的IP地址，向互联网上大量开放特定服务的服务器发起请求，接收到请求的那些主机根据源IP地址将响应数据包返回给受害者。整个过程中，返回响应的服务器并不知道请求源的恶意动机。黑客往往会选择那些响应包远大于请求包的服务来利用，这样才可以以较小的流量换取更大的流量，获得几倍甚至几十倍的放大效果。一般来说，可以被利用来做放大反射攻击的服务包括DNS服务、NTP服务、SNMP服务、Chargen服务等。利用NTP协议的反射放大效果最好，超过500倍。也就是说攻击者只需要发起100Mbps的请求流量，经过NTP服务器的反射放大，可 　　以换来5Gbps的攻击流量。2014年2月，在国外某云计算服务提供商遭受的400Gbps DDoS攻击中，黑客就采用了NTP 反射放大攻击。 　　随着互联网上存在DNS、NTP、SNMP等协议脆弱性的开放服务漏洞不断被修复，可以用来发起反射攻击的服务器数量越来越少。互联网上家用路由器、网络摄像头、打印机、智能家电等设备数量的激增，让黑客看到了另一个可以不断挖掘的金山。这些智能设备普遍采用UPnP（即插即用）协议作为网络通讯协议，而UPnP设备的发现是通过源端口为1900的SSDP（简单服务发现协议