為什麼沒有集中式拒絕服務攻擊?

假如用一種編程語言循環調用ping命令攻擊伺服器會不會出現拒絕服務


這種「傷敵一千,自傷八百」攻擊方式不是很有效,每一個IP包在攻擊方、受害方所耗費的CPU資源、帶寬資源都相仿,這有點像古典式的決鬥,A刺B一劍,B再刺A一劍,循環往複,看誰笑到最後。

通常拒絕服務攻擊,攻擊對方的帶寬、CPU、內存,使其沒有剩餘的帶寬、空閑的CPU、剩餘的內存服務其他用戶。

放大/反射攻擊

攻擊方每發一個IP包,最終會觸發N&>1 個IP包反射到受害方,比如

Ping 1.1.1.1 source 1.1.1.1 (受害方IP)

ping 1.1.1.255 source 1.1.1.1

ping 1.1.1.128 source 1.1.1.1

以此類推,但這些偽造的報文不保證可以到達受害方(1.1.1.1),但如果能夠到達受害方,則攻擊方式比1:1更有效。

ICMP限速

通常伺服器前置防火牆會對Ping限速,以減輕類似方式攻擊。


以現在的技術,ping攻擊很難成功。

ping這個協議是無狀態的,頂多佔一下帶寬和ip層cpu處理,不會影響業務。因為對ping很容易做限速、過濾,很容易對上送cpu的IP層處理做限流:做一個緩存,先入先出滿了就擠掉。

一般是針對tcp或更高層去攻擊的。高層協議有狀態,當攻擊者給伺服器發了個包,伺服器處理完以後,伺服器上要建立一系列的資源準備,包括埠、內存等。如果攻擊者不理繼續發新的包,就有可能讓伺服器上建立一堆垃圾context,從而不能為其他用戶服務。當然伺服器會有一個超時機制,context建立多久以後就刪掉釋放資源。

所以攻擊者發包的速率要和這個資源管理相當才能形成dos攻擊。舉例來說,如果伺服器有60000個埠,每個埠釋放超時時間是10秒,就意味著攻擊者每秒需要讓伺服器建立起6000個context。很少有人是靠流量把一個網站搞死的。

如果攻擊者資源夠,也無需ddos。但一般攻擊者網路能力受限,所以希望更多資源參與攻擊。

至於進行源IP過濾,基本上對簡單攻擊,例如ping,沒用。即使是單機攻擊,修改源IP也不是多複雜的事情。而網路上對源IP地址做校驗,也就是運營商了。移動運營商肯定會校驗因為上行也收費。固定運營商有的校驗有的不管。(這裡說的源IP校驗是指運營商網關檢查用戶發來的包源地址是不是填了他被分配的IP地址)。

而為什麼還要用ddos呢?因為

【有狀態的協議攻擊,攻擊越深就需要更多的消息來回。而偽冒源IP地址是不可能處理多個消息來回的。】

為什麼?因為伺服器發給偽冒IP的包到不了攻擊者這裡,跑去假的IP地址那裡去了。

所以,IP地址過濾,實際上是可以用來對付深度dos攻擊。也就是說,如果做了單IP地址不能建立多個context的設計,那麼dos攻擊很難成功,因為他不能偽冒IP地址。

舉個例子,如果攻擊tcp的context,那麼發包後不管就可以了。這時可以偽冒IP地址。

如果攻擊者想攻擊到http層,那麼攻擊結果會讓伺服器建立tcp連接,浪費伺服器埠,伺服器要維護session,維護cookie。這是需要客戶端跟伺服器端進行好多條來回消息才能完成。

如果伺服器做了IP過濾,那麼不要ddos是沒法攻擊成功的。

參考ike協議、ssh協議對dos的防範


不知道前面幾個回答,為什麼跟我想要看到的回答思路不一樣。這裡我做一下回復。

首先,分散式攻擊具備兩個優點。

第一個優點是可以打擊分散式系統。一般的大型系統是分散式的,可以視作是異地多活。那麼如果一個機房被攻擊,立即可以使用其他機房。簡單來說,可以在dns解析裡面下線被攻擊的機房(或者用其他機房過來填坑硬扛)。如果是全網很多機房被同時攻擊,就沒有可以應對的辦法了。所以,分散式大流量攻擊是針對分散式系統的。

其次,分散式殭屍機器攻擊成本低。

只要有廣泛的木馬分布即可。而集中式攻擊,則需要你的機房具備足夠的資源,主要是帶寬資源或者機器數量。

接下來說下集中式攻擊的弊端:

1 攻擊面積太小,容易被避免。

如果攻擊域名,則你只能攻擊當地解析(舉例:上海電信用某浙江電信機房覆蓋),浙江電信該機房確實被你打趴下了,但是,對方可以調整,讓全國其他地區不用該機房,則你只阻礙了上海電信的訪問,其他地區沒有毛線影響。

如果攻擊ip,則對方可以通過在解析中下線該ip的方式來避免。

2 容易被防護。

你攻擊發起的ip是固定的話,對面從ip層過濾你這個ip的請求即可。做得好的話,從業務層靠代碼去過濾也是可以的。

3 成本高。

你如果要打癱對面一個機房,你要有一個同等能力的機房才行,包括機器數量,帶寬等能力。這個成本還是很高的,而且被發現還面臨被idc查封的風險。

最後說一句,ping不太能造成攻擊。目前比較有價值的攻擊方式,還是流量攻擊,垃圾請求攻擊,以及更低維度也更難防止的syn flood攻擊。


你循環ping一下自己的機器就知道了。


基本概念錯誤。傳統的拒絕服務攻擊,DoS,說的就是單台或者少量攻擊端的計算機實施的拒絕服務攻擊。就好像有「女兵」這個詞,卻沒有「男兵」這個詞。

只不過是單台的攻擊,往往需要找到網路層、應用層等層面的漏洞,可以用來放大攻擊效果的缺陷,才更容易成功,費事。對方容易針對性的修復漏洞或攔截攻擊。

而DDoS簡單粗暴,難以防範,只要掌握大量肉雞,可以輕鬆有效實施攻擊,所以傳統的DoS就變少了。


單個機器直接給你ip屏蔽了


就跟社會青年打架一樣。

你要是一個人剛不過對方,叫來一堆小弟一起群毆對方,把對方一個人撂倒在地上,這就是一個成功的分散式拒絕服務攻擊。

反之,如果一個人杠得過對方,自己出手就可以了。自己 100Mbps 的帶寬怎麼著也能把 10Mbps 的搞個半死。當然,直接的硬碰硬一般都會被伺服器按在地上摩擦而已。

集中式拒絕服務攻擊一般都是運用一些邏輯上的漏洞來使對方自己扇自己巴掌扇倒在地,但是隨著安全工作的日漸完善,這樣的漏洞也越來越少。

一個比較成功的案例就是 NTP 反射攻擊,比率可以達到 1:500:https://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse

所以說一般找不到洞的話就不要去想這種事情了。順便說一下 ping 的流量並不大,不要指望這樣弄掉對面伺服器。怎麼著也試試 deflate bomb 再說啊~(逃)


看到其他答主說單台機器打不過伺服器,我就笑了。

騰訊雲阿里雲百度雲賣出了多少1M帶寬的雲伺服器你們不清楚?

像這種伺服器很多都是被買去做企業站了,如果是這種伺服器,一個百兆光纖的家庭用戶,可以同時打死100台伺服器。

即使不是乞丐版,幾千一年的伺服器有10M帶寬就了不起了,就算你公司土豪開100M帶寬。我隨便一個家庭百兆光纖用戶都能幹死你幾萬一年的百兆伺服器!

真不知道國內帶寬為什麼賣得這麼貴,造成這種奇葩現象。

這個時代還要啥ddos啊,一台機器就把伺服器cc死了,集中式DDOS不是夢,一台計算機D死N台計算機,不就是題主說的「集中式拒絕服務攻擊」嗎?


沒看到一個靠譜的答案,那我也說個不靠譜的好了。

對於伺服器來說,並不會單獨服務一個客戶端。所以你一台電腦性能再好,帶寬再高,伺服器也只會給你分配1/N的資源應對你的請求,這裡N是同時訪問伺服器的請求數量。

假設伺服器能同時響應1000個請求,現在不算你只有100個客戶端在訪問。多你一台客戶端能有啥影響?而分散式攻擊是發起10000甚至更多的請求,這個時候如果有正常請求進來,要麼先等前面10000個攻擊請求完成,要麼只能分配到正常情況下1/10的資源來響應。不管哪種,結果都會導致正常請求超時。

事實上,根據TCP的協商機制,對方只有1M帶寬的時候,就算你是1G帶寬,你們之間的數據傳輸速率不會超過1M,你多發的包會都被丟掉。


單獨一台主機的帶寬沒法和伺服器相比的。

除非伺服器的OS對ICMP處理有BUG,否則一台電腦PING不死的。

上行帶寬有限。


做過路由器安全測試,類似的協議報文上送cpu是有限速的,一般不會被某一種報文循環攻擊搞死;同理,對伺服器會採用防火牆來限制某些報文的攻擊,ping都能搞死設備,黑客的門檻也太低了~


你讓鳴人沒有影分身,看他還牛個啥。

其實是有的,比如當年剛接入寬頻時,帶寬是100M(網通專線),用個洪水工具,幾分鐘內可以搞掉遊戲私服,那些私服的帶寬和伺服器都不行。

欺負一下私服還行,搞門戶,不行。


額,,

首先你得先弄清楚拒絕服務是什麼意思,

拒絕服務,通俗點講就是我不給你服務了

為啥不服務?因為服務不過來了

為啥服務不過來?因為請求太多了

為啥請求多?因為請求的機器太多了

一台機器最多也就65535個TCP鏈接(ip:port), 無法讓後端不為你服務( ??ω?? )

所以。沒有集中式這一說嘮


ping localhost

回車


Slowloris.pl


這麼干需要你的帶寬大過目標帶寬,DDOS攻擊的攻擊方和防禦方比的就是帶寬,誰的帶寬大,誰就贏,所以通常是分散式攻擊,調動所有可能的大帶寬去打擊一點。


我當時為了維持我家破路由器的速度寫的程序就是

while(1) {

system("ping 192.168.1.1");

system("ping http://www.baidu.com");

}

不知道為什麼我家破路由器得這樣才能在下載中保持100KB/s的網速...同時說明一點這種攻擊P用沒有


這是一個攻防成本的問題,而且ping 包,太小


我說,就算這種攻擊有效

對方資源不如你,網路也不如你(你是主幹,他是分支)

然後被搞死了也不看流量,不屏蔽你.....

你得逞了

公共安全專家歡迎你......

大流量能淹死 server 的,還集中式,抓不到你才怪.....


第一,你一般沒多少帶寬。第二,你不換MAC/IP的話伺服器那邊可以直接把你拉黑。


推薦閱讀:

OCP培訓的老師說在北上廣不會linux就意味著失業?
怎麼理解linux內核棧?
win8+每月一次對ssd執行碎片整理是有利的么?
初三馬上畢業了,復讀還是職高?
如何解密被wannacry軟體加密的文件?

TAG:網路安全 | 軟體工程 | 計算機網路 | 計算機科學 | Java編程 |