网络安全--安全设备（一）Dos

一、Dos 是什么

Dos(拒绝服务攻击,Denial-of-Service)，是一种试图通过压倒网络或服务器来阻止合法用户访问服务的攻击。

DoS攻击的案例：

1、死亡之Ping
它通过向计算机发送格式错误的Ping来工作，Ping的大小将大于互联网协议所能处理的大小，因此，会导致缓冲区溢出导致系统崩溃，并可能执行恶意代码。

2、Ping洪水
它向系统发送大量的Ping数据包，更具体地说，它发送网络控制报文协议响应请求，因为Ping需要相同数量的ICMP回响应答，如果一台计算机不能跟上这一点，那么它很容易被淹没井被摧毁

3、SYN洪水
TCP SYN泛洪发生在OSI第四层，这种方式利用TCP协议的特性，就是三次握手。攻击者发送TCP SYN，SYN是TCP三次握手中的第一个数据包，而当服务器返回ACK后，该攻击者就不对其进行再确认，那这个TCP连接就处于挂起状态，也就是所谓的半连接状态，服务器收不到再确认的话，还会重复发送ACK给攻击者。这样更加会浪费服务器的资源。攻击者就对服务器发送非常大量的这种TCP连接，由于每一个都没法完成三次握手，所以在服务器上，这些TCP连接会因为挂起状态而消耗CPU和内存，最后服务器可能死机，就无法为正常用户提供服务了。

二、DDos是什么

DDos(分布式拒绝服务攻击,Distributed Denial of Service)，处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

DDOS攻击主要分为三类：

1. 流量型攻击；
2. 连接型攻击；
3. 特殊协议缺陷，
   带宽消耗型
   资源消耗型。
   DDoS攻击主要可以分为以下几类：

1、流量型攻击：
通过发送大量数据包到目标服务器，以消耗其带宽资源，导致正常流量无法通过。

2、连接型攻击：
通过建立大量TCP连接，消耗目标服务器的连接资源，使得服务器无法处理新的连接请求。

3、特殊协议缺陷攻击：
利用网络协议的特定缺陷或漏洞来进行攻击，进一步细分为：

• 带宽消耗型：利用协议缺陷放大流量，例如DNS放大攻击即ping洪水。
• 资源消耗型：利用协议缺陷消耗服务器的计算资源或其他资源，例如慢速连接攻击即SYN洪水。

DNS放大攻击，攻击者向开放的DNS服务器发送带有伪造源IP地址的DNS查询请求，查询一个能够返回大量信息的域名。DNS服务器响应这个查询，并将大量数据发送到伪造的源IP地址，即目标服务器，导致目标服务器的带宽被大量消耗。

慢速连接攻击，攻击者故意以极慢的速度发送TCP连接请求，使得目标服务器长时间处于等待状态，从而消耗服务器的连接处理资源。还有应用层攻击，如通过发送大量复杂的数据库查询或脚本执行请求，消耗服务器的CPU或内存资源。

这些攻击类型都旨在通过不同的方式使目标服务器无法正常提供服务。

三、Dos&DDos的区别

DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为，也就是说黑客发动攻击时，会使用网络上两个或两个以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。

四、产品防御Dos&DDos方式

1. 扩大带宽：增加网络带宽可以在一定程度上缓解流量型攻击的影响，使得攻击者难以用有限的资源填满带宽。

2. 入侵检测系统（IDS）：部署入侵检测系统可以帮助识别和警告潜在的攻击行为，从而及时采取措施。

3. 流量过滤：通过路由器、防火墙和其他网络安全设备对流量进行过滤，可以阻止恶意流量到达目标服务器。这包括基于源IP、目的端口、数据包类型等的过滤规则。

4. 多重验证：实施多重验证机制，如CAPTCHA，可以区分人类用户和自动化的攻击脚本，保护网站不受自动化工具的攻击。

5. 异常流量检测：使用异常流量检测工具来监控网络流量，及时发现和响应异常模式，如流量突增或特定类型的请求激增。

6. 分布式防御：采用分布式架构，将流量分散到多个服务器或数据中心，可以降低单点故障的风险。

7. 使用专业DDoS防护服务：许多云服务和网络安全公司提供专业的DDoS防护服务，具备大规模流量清洗能力。

8. 黑洞路由：在极端情况下，可以将攻击流量导向一个“黑洞”，即一个不可达的地址，从而保护目标网络不受攻击流量的影响。

9. 任何cast技术：使用Anycast技术将流量分散到全球多个节点，可以减轻单个节点的压力。

10. 应用层防护：对于应用层的DDoS攻击，如HTTP Flood，需要在应用层面进行特定的防护措施，如限制请求速率、实施资源访问控制等。

11. 内容分发网络（CDN）：CDN不仅可以加速内容分发，还可以通过分散流量来提高抗DDoS攻击的能力。

12. 安全信息和事件管理（SIEM）：SIEM系统可以收集、分析和报告安全事件，帮助快速识别和响应攻击。

13. 多层防护策略：结合多种防护措施，形成多层防护体系，以应对不同类型的攻击。

14. 应急响应计划：制定详细的应急响应计划，确保在攻击发生时能够迅速有效地应对。

DDoS防护通常可以安装或集成在以下类型的安全设备上：

1. 边界路由器：在网络的边界上部署DDoS防护措施，可以对进入的流量进行初步的过滤。

2. 防火墙：一些高级防火墙具备DDoS防护功能，能够识别和阻止恶意流量。

3. 入侵检测系统（IDS）/入侵防御系统（IPS）：这些系统可以检测和防御DDoS攻击以及其他类型的网络攻击。

4. 专用DDoS防护设备：这些是专门设计来识别和缓解DDoS攻击的硬件设备。

5. 负载均衡器：在负载均衡器上配置DDoS防护规则，可以分散流量到多个服务器，减轻单点压力。

6. 内容分发网络（CDN）：CDN不仅可以加速内容分发，还可以通过分散流量来减轻DDoS攻击的影响。

7. 云服务提供商：许多云服务提供商提供DDoS防护服务，这些服务通常作为云基础设施的一部分。

8. 虚拟化环境中的虚拟设备：在虚拟化环境中，DDoS防护可以作为虚拟设备或服务来部署。

9. 分布式拒绝服务攻击检测系统：专门设计来检测和响应DDoS攻击的系统，可能集成在其他网络安全解决方案中。

10. 流量清洗中心：在网络流量到达关键服务器之前，通过流量清洗中心对流量进行清洗，过滤掉恶意流量。

五、常见的DDoS攻击类型包括但不限于以下几种：

1. ICMP Flood：攻击者发送大量的ICMP数据包到目标服务器，消耗网络带宽。

2. UDP Flood：使用UDP协议发送大量数据包，因为它不需要建立连接，可以快速发送大量流量。

3. TCP SYN Flood：攻击者发送大量TCP连接请求（SYN包），但不完成三次握手过程，导致服务器资源被占用。

4. HTTP Flood：针对Web服务器的攻击，通过发送大量HTTP请求来消耗服务器资源。

5. DNS Amplification Attack：利用开放的DNS服务器放大流量，攻击者发送小的查询请求，诱导DNS服务器向目标发送大量的响应。

6. NTP Amplification Attack：与DNS放大攻击类似，但使用NTP服务器来放大流量。

7. SSDP Amplification Attack：利用简单服务发现协议（SSDP）进行流量放大攻击。

8. Chargen Amplification Attack：使用字符生成协议（Chargen）进行流量放大。

9. Slowloris Attack：这是一种慢速连接攻击，攻击者尝试打开尽可能多的HTTP连接，但不发送完整的HTTP请求，导致服务器资源耗尽。

10. Teardrop Attack：通过发送重叠的IP片段来攻击目标系统，可能导致系统崩溃。

11. Smurf Attack：一种分布式攻击，攻击者向广播地址发送大量的ICMP请求，源地址伪造为目标IP，导致大量响应数据发送给目标。

12. SYN Flood：与TCP SYN Flood类似，发送大量TCP SYN包，但不完成握手，消耗服务器资源。

13. Ping of Death：发送大于IP数据包最大尺寸的ICMP数据包，尝试破坏目标系统。

14. Application Layer Attacks：针对应用层的攻击，如SQL注入、跨站脚本（XSS）等，虽然不是传统意义上的DDoS攻击，但可以用于消耗应用资源。

15. Reflective Attacks：利用第三方服务反射流量到目标，如上述的DNS、NTP、Chargen放大攻击。

16. WebSocket Flood：针对支持WebSocket协议的服务的攻击，通过WebSocket连接发送大量数据。

17. SSL/TLS Flood：利用加密层（SSL/TLS）发送大量数据，消耗服务器的CPU和内存资源。

这些攻击类型可以单独使用，也可以组合使用，以增加攻击的复杂性和防御的难度。防御DDoS攻击需要综合多种技术手段和策略。