DOS,DDOS的区别通俗讲+DDOS应用场景
博主是刚入行的新手,最近在研究异常漏洞数据的检测,这里看了好多篇论文和博客我才总算是比较通俗一点的理解了各种漏洞的特性应用场景,这次就先简单的讲解一下DDOS。
本文分成两大板块,首先来区分一下DOS和DDOS和特性和区别,(参考了公众号:黄庆龙 网络工程师阿龙 还有黑客帝国)再来主要讲解一下实际场景中我们经常遇到的DDOS的特性的行为(参考了:科来——异常数据检测这篇博客+bilibili:DDOS攻击详讲)
Dos攻击
DOS:Denial of Service 拒绝服务
目的:为了是计算机或者网络无法提供正常的服务
最常见的DOS攻击有:计算机网络宽带攻击和连通性攻击
DOS的定义:尝试使计算机或网络对其与其用户不可用,因此DOS一般就是一台计算机和一个互联网连接,以便用数据包摧毁服务器和网络,唯一的目的就是式受害者的带宽和可用资源过载。
某公司的服务器遭到了黑客的DOS攻击,黑客主机的性能比公司服务器好很多,在一定时间内发送了大量的请求,导致服务器CPU,内存等情况升高,无法处理正常用户发送过来的请求服务
现实举例:比如说你去一家餐厅排队吃饭,前面有一个人一直在"挑刺"服务员,比如说:你们这个菜是否新鲜?一个月能赚多少钱啊?这个菜有没有虫?等等这些问题,于是乎,影响了后面顾客的点餐,最终停止服务。
真实DOS攻击图:
DDOS攻击
DDOS:Distributed Denial of Service 分布式拒绝服务攻击
定义:多个攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。
可能的情况有: 处于不同位置的多个攻击者同时向一个或数个目标发动攻击
或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。
由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击。
现实示例:还是餐厅的那个例子,有人(黑客)安排了(控制)成千上万个人(“肉鸡”)来餐厅里面假装要点餐,实则就是来"挑刺"但是这个餐厅只能维持100个人的容量,这些人都把餐厅门口堵死了导致了正常用户不能进行消费,所以餐厅被迫停业了。
真实的DDOS攻击示意图:
-
多个攻击者对服务器进行攻击
-
一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击
DDOS详讲
一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式
(1)简单的单机洪水攻击方式。 (2)集中大量僵尸主机发动分布式攻击。
如何识别
可以从防火墙的日志中读取日志、然后根据已安全专家的经验进行判断那些是异常流量数据,进行数据打标、然后收集大部分数据,采用NLP 相关技术进行分类、 这样以后流量通过防火墙可以进入模型进行判断是否是异常流量
受害端特征
- DNS流量占比极高
- DNS流量平均包长超过100B
- 大量TYPE=255的应答报文
- 可能出现大量IP分片报文
跳板机的特征
跳板机: 跳板机(早期的堡垒机)是网络中容易受到侵害的主机,所以跳板机也必须是自身保护完善的主机
属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机没有实现对运维人员操作行为的控制和审计,此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。没有实现对运维人员操作行为的控制和审计,使用跳板机的过程中还是会出现误操作、违规操作导致的事故,一旦出现操作事故很难快速定位到原因和责任人。
- 单个外部域名解析请求频繁
- 频繁出现TYPE=255
- 攻击发生时特征与受害端接近