DOS/DDOS(Denial of Service/Distributed Denial of Service),簡稱拒絕服務或分布式拒絕服務攻擊。一直以來,它就是黑客實施點穴式攻擊最有效的手段,在互聯網上也有很多免費的DOS/DDOS攻擊工具下載。嚴格來講,DOS/DDOS並不是一個攻擊工具,而是對“攻擊行為特征”的一種統稱,它的核心關鍵詞在於“拒絕服務”和“分布式”所包括的內涵。DOS/DDOS攻擊者想方設法,使用各種網絡技術手段,占用被攻擊者所提供服務的資源,例如:消耗服務者的網絡帶寬資源、服務器的計算資源或者存儲資源等等,讓正常訪問者無法獲取相對應的資源,從而達到破壞的目的。所以,通俗的理解DOS/DDOS攻擊目的,就是“走別人的路,讓別人無路可走”。
傳統的DOS/DDOS攻擊者通過在網絡層和傳輸層消耗大量帶寬,造成正常訪問通路嚴重阻塞。但是隨著有效網絡帶寬成本大幅降低,要實施帶寬攻 擊型的攻擊,需要消耗攻擊者更多的資源,而且被暴露的可能性也會加大。更重要的是,這種攻擊行為的特征非常明顯,也很容易就能判別出攻擊者的意圖,給被攻 擊者更多的應對措施和解決問題的緩沖時間,所以早期的這種暴力型“DOS/DDOS”攻擊出現的次數逐漸在整個拒絕服務攻擊中所出現的比例越來越少。但 是,Web2.0時代各種新技術的廣泛應用,針對應用層的Dos/DDOS攻擊卻在逐年增加。這類攻擊,和實際的業務系統結合非常緊密,攻擊者通過研究用 戶業務系統的數據交互特性,利用正常的應用協議進行數據傳輸交互,從協議特征的合規性上與合法訪問一致,在網絡流量上也不會引起異常大流量。這種攻擊往往悄無聲息,動靜不大,危害卻很嚴重。傳統的網絡設備,如果不細致分析用戶的業務系統,不對攻擊者的攻擊手法和攻擊過程進行深入的分析,基本上對這類攻擊就會顯得束手無策。
攻擊者在黑客實施DOS/DDOS攻擊之前,往往需要相當多的前奏准備。例如,先找到代理或者“肉雞”,避免暴露自己真實的位置,再通過分布式肉雞的使用端口掃描探測,獲得目標服務器的基本信息:如操作系統類型、數據庫類型、提供服務的端口、服務的類型、業務系統的特性以及服務器的硬件配置計算能力、存儲能力等等。攻擊者只需要耗費很小的帶寬和主機資源,而服務器端則要消耗很大的帶寬或者主機資源,直至造成服務器資源被消耗殆盡,就會開始拒絕其他合法客戶端訪問。針對面對這些DOS/DDOS安全威脅,天融信公司通過深入研究開發的入侵防御系統TopIDP提供了完整的解決方案。
首先,在網絡層和傳輸層發生的DOS/DDOS攻擊,天融信入侵防御系統TopIDP將其劃分為統計型攻擊,例如傳統的SYNFlood拒絕服 務攻擊。該攻擊以多個隨機的源主機地址向目的主機發送SYN包,而在收到目的主機的SYN ACK後並不回應,這樣造成目的主機就為這些源主機建立了大量的連接隊列,而且由於沒有收到ACK一直維護著這些隊列,造成了資源的大量消耗而不能向正常 請求提供服務。後續正常的TCP 連接請求也會因等待隊列填滿而被丟棄,造成服務器拒絕服務的現象。對於這種DOS/DDOS,天融信IDP有完善的統計代理機制,UDPFlood、 ICMPFlood、 PingSweep、PortScan都可以歸類為統計型攻擊范疇。天融信的入侵防御系統,提供了詳細的解決防護。