拒絕服務(wù)攻擊

拒絕服務(wù)攻擊分為兩種，DDOS攻擊和DOS攻擊。

DDOS攻擊也稱為分布式拒絕服務(wù)攻擊，英文全稱Distributed denial of service attack，與DOS攻擊存在較大區(qū)別。

DOS攻擊可以理解為使用單臺主機(jī)利用目標(biāo)系統(tǒng)應(yīng)用層或系統(tǒng)層的漏洞，使其無法正常提供服務(wù)，而DDOS攻擊一般都是通過黑客控制的大量的肉雞，結(jié)合反射放大等攻擊對目標(biāo)進(jìn)行大量流量攻擊，使其無法提供服務(wù)。

先討論DDOS攻擊，這類攻擊通常在防火墻等網(wǎng)絡(luò)設(shè)備能看到目標(biāo)短時間內(nèi)遭受了大量的流量攻擊，最明顯的表現(xiàn)為網(wǎng)站外網(wǎng)無法正常訪問或訪問速度非常卡頓，而內(nèi)網(wǎng)則正常訪問沒有問題，此時基本可以斷定為目標(biāo)遭受DDOS攻擊。

這類攻擊沒有特別好的處理方式，僅給出網(wǎng)上常用的處理建議：

1、特征丟棄，根據(jù)數(shù)據(jù)包的特征或訪問行為進(jìn)行丟棄，如基于Payload特征、發(fā)包行為特征等。

2、限速，對流量／訪問的速率進(jìn)行限流。

3、限源，即對源IP或協(xié)議進(jìn)行限制。

還是建議部署安全設(shè)備或上云來防止遭受DDOS攻擊。

DOS攻擊一般都是由于系統(tǒng)或應(yīng)用漏洞導(dǎo)致，最應(yīng)用層最常見的有apache的slowloris Attack，也是awvs最容易掃出來的問題，msf中自帶有相關(guān)的掃描腳本。

除此之外，部分DOS攻擊利用系統(tǒng)漏洞使服務(wù)器無法正常運(yùn)行，如經(jīng)典的MS12020，可以使任意開放了RDP服務(wù)并且沒有打?qū)?yīng)補(bǔ)丁主機(jī)藍(lán)屏重啟，從而導(dǎo)致無法正常提供服務(wù)。

遭遇此類攻擊時，我們應(yīng)當(dāng)對系統(tǒng)開放的服務(wù)一一進(jìn)行排查，如果有相關(guān)的網(wǎng)絡(luò)設(shè)備可以對受影響主機(jī)進(jìn)行流量監(jiān)控，確認(rèn)遭受攻擊的端口與服務(wù)，再進(jìn)行后續(xù)分析。