拒絕服務(wù)攻擊

拒絕服務(wù)攻擊分為兩種，DDOS攻擊和DOS攻擊。

DDOS攻擊也稱(chēng)為分布式拒絕服務(wù)攻擊，英文全稱(chēng)Distributed denial of service attack，與DOS攻擊存在較大區(qū)別。

DOS攻擊可以理解為使用單臺(tái)主機(jī)利用目標(biāo)系統(tǒng)應(yīng)用層或系統(tǒng)層的漏洞，使其無(wú)法正常提供服務(wù)，而DDOS攻擊一般都是通過(guò)黑客控制的大量的肉雞，結(jié)合反射放大等攻擊對(duì)目標(biāo)進(jìn)行大量流量攻擊，使其無(wú)法提供服務(wù)。

先討論DDOS攻擊，這類(lèi)攻擊通常在防火墻等網(wǎng)絡(luò)設(shè)備能看到目標(biāo)短時(shí)間內(nèi)遭受了大量的流量攻擊，最明顯的表現(xiàn)為網(wǎng)站外網(wǎng)無(wú)法正常訪(fǎng)問(wèn)或訪(fǎng)問(wèn)速度非常卡頓，而內(nèi)網(wǎng)則正常訪(fǎng)問(wèn)沒(méi)有問(wèn)題，此時(shí)基本可以斷定為目標(biāo)遭受DDOS攻擊。

這類(lèi)攻擊沒(méi)有特別好的處理方式，僅給出網(wǎng)上常用的處理建議：

1、特征丟棄，根據(jù)數(shù)據(jù)包的特征或訪(fǎng)問(wèn)行為進(jìn)行丟棄，如基于Payload特征、發(fā)包行為特征等。

2、限速，對(duì)流量／訪(fǎng)問(wèn)的速率進(jìn)行限流。

3、限源，即對(duì)源IP或協(xié)議進(jìn)行限制。

還是建議部署安全設(shè)備或上云來(lái)防止遭受DDOS攻擊。

DOS攻擊一般都是由于系統(tǒng)或應(yīng)用漏洞導(dǎo)致，最應(yīng)用層最常見(jiàn)的有apache的slowloris Attack，也是awvs最容易掃出來(lái)的問(wèn)題，msf中自帶有相關(guān)的掃描腳本。

除此之外，部分DOS攻擊利用系統(tǒng)漏洞使服務(wù)器無(wú)法正常運(yùn)行，如經(jīng)典的MS12020，可以使任意開(kāi)放了RDP服務(wù)并且沒(méi)有打?qū)?yīng)補(bǔ)丁主機(jī)藍(lán)屏重啟，從而導(dǎo)致無(wú)法正常提供服務(wù)。

遭遇此類(lèi)攻擊時(shí)，我們應(yīng)當(dāng)對(duì)系統(tǒng)開(kāi)放的服務(wù)一一進(jìn)行排查，如果有相關(guān)的網(wǎng)絡(luò)設(shè)備可以對(duì)受影響主機(jī)進(jìn)行流量監(jiān)控，確認(rèn)遭受攻擊的端口與服務(wù)，再進(jìn)行后續(xù)分析。