DDOS - HackMD

### DDOS **DoS** Denial of Service 拒絕服務 **DDOS** Distributed denial of service 分布式拒絕服務(群毆) ![image](https://hackmd.io/_uploads/Bk0cjiWakx.png) 利用木馬、蠕蟲、後門等惡意程式感染大量設備成為殭屍網路 ![image](https://hackmd.io/_uploads/rJk7nsWpJl.png) 瘋狂ping別人 -> ICMP洪水 **ICMP flood** ping 指令傳的是ICMP封包(網路層) **UDP flood** 傳輸層 DDOS 此攻擊手段會暴露自己的IP位址因此攻擊者會偽造IP地址隱藏自己 **反射攻擊** ![image](https://hackmd.io/_uploads/ry7F0oW6kg.png) 第三方機器在此被稱為反射器 **放大攻擊** ![image](https://hackmd.io/_uploads/ByuYyn-TJl.png) BAF 帶寬放大因子 60bytes請求回來變成3000bytes 流量放大 ![image](https://hackmd.io/_uploads/SkF7JhZpyx.png) **TCP flood** TCP 三次握手需要用連接表紀錄大量發起TCP連接把連接表塞爆 ![image](https://hackmd.io/_uploads/rJ4OlnWa1x.png) **SYN flood** 讓三次握手變成我不要握手了哼! 攻擊方不回答的結果就是，反而被目標DOS，所以必須偽造發信IP ![image](https://hackmd.io/_uploads/Bkh4Z2bpkx.png) **進階 SYN flood** 把SYN全部丟給大量反射器，大量的流量傳回偽造後的IP也就是目標機器 ![image](https://hackmd.io/_uploads/Byaab2b6ke.png) **RST flood** RST會中斷TCP連接，利用這個機制發起一堆偽造IP的RST封包，亂槍打鳥隨機斷開別人的連接吃不了雞嗎? 那就把別人的網路斷了吧! ![image](https://hackmd.io/_uploads/B1Fem2Z6Jl.png) **HTTP洪水攻擊** 在蝦皮網站搜尋欄中瘋狂輸入各種關鍵詞，讓蝦皮伺服器反覆去資料庫查詢，讓蝦皮伺服器運算資源耗盡。但因為HTTP的基礎是TCP所以不能偽造IP(三次握手) 解法: 借助網路代理主機使用不同的真實IP發起攻擊 ![image](https://hackmd.io/_uploads/rJUK4hWp1e.png) ### 防禦DDOS #### 有錢人防禦方法 **防止攻擊者偽造IP** -> 路由設備自動過濾不屬於該網段的IP發起的封包 ![image](https://hackmd.io/_uploads/Bk_sH3-akg.png) **分布式過濾** 攻擊路徑改不了，檢測路徑與IP的邏輯性 ![image](https://hackmd.io/_uploads/SJeQ82Z6Jl.png) #### 一般人的方法 **服務器利用CDN緩解流量壓力** ![image](https://hackmd.io/_uploads/B1ai82Zpkg.png) **流量清洗** ![image](https://hackmd.io/_uploads/r1qfDh-ayg.png) ![image](https://hackmd.io/_uploads/S1OUPhb6yg.png)