利用反弹技术进行DDoS攻击让防御更加困难
时间 : 2015-11-26 16:50
来源 : 未知
网络攻击技术和安全技术一直在做斗争,如今攻击者可以通过反弹技术使我们对DDOS攻击更难以防御。利用反弹服务器反弹DDOS的洪水包,也就是说,通过发送大量的欺骗请求数据包(来源地址为victim,受害服务器,或目标服务器)给Internet上大量的服务器群,而这些服务器群收到请求后将发送大量的应答包给victim。结果是原来用于攻击的洪水数据流被大量的服务器所稀释,并最终在受害者处汇集为洪水,使受害者更难以隔离攻击洪水流,并且更难以用Traceback 跟踪技术去找到洪水流的来源。
以往的DDOS攻击本文不再详谈,很多人都已经了解。重要的是,而今考虑周密的攻击者可以通过利用反弹服务器(Reflector),更好的组织他们的攻击。
反弹服务器是指,当收到一个请求数据报后就会产生一个回应数据报的主机。例如,所有的WEB服务器,DNS服务器,及路由器都是反弹服务器,因为他们会对SYN报文或其他TCP报文回应SYNACKs或RST报文,以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动DDOS攻击。
攻击者首先锁定大量的可以做为反弹服务器的服务器群,比如说100万台(这并不是件很难的工作,因为在Internet上光是WEB服务器就不止这么多的,更何况还有更多其他的机器可以作为反弹服务器)。然后攻击者们集中事先搞定的从服务器群,向已锁定的反弹服务器群发送大量的欺骗请求数据包(来源地址为victim,受害服务器或目标服务器)。反弹服务器将向受害服务器发送回应数据报。结果是到达受害服务器的洪水数据报不是几百个,几千个的来源,而是上百万个来源,来源如此分散的洪水流量将堵塞任何其他的企图对受害服务器的连接。
值得注意的是,不象以往DDOS攻击,利用反弹技术,攻击者不需要把服务器做为网络流量的放大器(发送比攻击者发送的更大容量的网络数据)。他们甚至可以使洪水流量变弱,最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器,使其更容易找到足够数量的反弹服务器,用以发起攻击。
利用反弹技术进行DDOS攻击虽然更加可怕,但是我们易云高防服务器一直站在网络安全的前沿,随时随地对各种攻击方式做出及时并完美的防御策略,一切为客户的安全和稳定着想使我们的初衷,攻击技术在变化,我们的初衷永远不会改变。
上一篇:上一篇:看易云网络如何做到把机房布线失误率减小到业内最低
下一篇:下一篇:如何通过开启路由器的TCP拦截来防止SYN攻击
以往的DDOS攻击本文不再详谈,很多人都已经了解。重要的是,而今考虑周密的攻击者可以通过利用反弹服务器(Reflector),更好的组织他们的攻击。
反弹服务器是指,当收到一个请求数据报后就会产生一个回应数据报的主机。例如,所有的WEB服务器,DNS服务器,及路由器都是反弹服务器,因为他们会对SYN报文或其他TCP报文回应SYNACKs或RST报文,以及对一些IP报文回应ICMP数据报超时或目的地不可达消息的数据报。而攻击者可以利用这些回应的数据报对目标服务器发动DDOS攻击。
值得注意的是,不象以往DDOS攻击,利用反弹技术,攻击者不需要把服务器做为网络流量的放大器(发送比攻击者发送的更大容量的网络数据)。他们甚至可以使洪水流量变弱,最终才在目标服务器回合为大容量的洪水。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器,使其更容易找到足够数量的反弹服务器,用以发起攻击。
利用反弹技术进行DDOS攻击虽然更加可怕,但是我们易云高防服务器一直站在网络安全的前沿,随时随地对各种攻击方式做出及时并完美的防御策略,一切为客户的安全和稳定着想使我们的初衷,攻击技术在变化,我们的初衷永远不会改变。
