5501 
2023-07-02 10:22:02 網(wǎng)絡攻擊的次數(shù)逐年增加,最常見的攻擊應該就是CC攻擊和DDoS攻擊了。那么,DDoS攻擊和CC攻擊區(qū)別是什么呢?DDoS攻擊就是分布式的拒絕服務攻擊,CC攻擊可以歸為DDoS攻擊的一種,想要了解更細致那就仔細閱讀下文章吧。
DDoS攻擊和CC攻擊區(qū)別
1、攻擊對象不同:DDoS是針對IP的攻擊;CC攻擊針對的是網(wǎng)頁。
2、危害不同:DDoS攻擊危害性較大,更難防御;CC攻擊的危害不是毀滅性的,但是持續(xù)時間長。
3、門檻不同:DDoS攻擊門檻高,攻擊者一般需要在攻擊前搜集被攻擊目標主機數(shù)目、地址情況、目標主機的配置性能等資料,盲目攻擊可能導致效果不佳;CC攻擊門檻低,利用更換IP代理工具即可實施攻擊,且目標比較明確,黑客水平比較低的用戶也能進行。
4、流量大小不同:DDoS攻擊比CC攻擊所需要流量更大,且CC攻擊有時不需要很大的流量。
DDoS攻擊與防御
分布式拒絕服務攻擊(Distributed Denial of Service),是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊。由于攻擊的發(fā)出點是分布在不同地方的,這類攻擊稱為分布式拒絕服務攻擊。
DDoS 是一種基于 DoS 的特殊形式的拒絕服務攻擊。單一的 DoS 攻擊一般是采用一對一方式,利用網(wǎng)絡協(xié)議和操作系統(tǒng)的缺陷,采用欺騙和偽裝的策略來進行網(wǎng)絡攻擊,使網(wǎng)站服務器充斥大量要求回復的信息,消耗網(wǎng)絡帶寬或系統(tǒng)資源,導致網(wǎng)絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡服務。與 DoS 相比,DDos 借助數(shù)百上千臺攻擊機形成集群,發(fā)起的規(guī)模更大,更難防御的一種進攻行為。
ICMP 用于在 IP 主機,路由器之間傳遞控制消息(網(wǎng)絡是否連通,主機是否可達,路由是否可用等)。ICMP 雖然不傳遞用戶數(shù)據(jù),但是對于用戶數(shù)據(jù)的傳遞起著重要的作用。ICMP Flood 通過對目標系統(tǒng)發(fā)送海量的數(shù)據(jù)報,就可以令目標主機癱瘓,形成洪泛攻擊。
UDP 協(xié)議是一種無連接的協(xié)議,在 UDP Flood 中,攻擊者通常發(fā)送大量偽造 IP 地址的 UDP 報去沖擊 DNS 服務器,Radius 認證服務器,流媒體視頻服務器等,造成服務不可用。 上述的兩種是比較傳統(tǒng)的流量型攻擊,技術含量較低,以占滿網(wǎng)絡帶寬使得正常用戶無法得到服務為攻擊方式,攻擊效果通常依賴于攻擊者本身的網(wǎng)絡性能,而且容易被查找攻擊源頭。
NTP 是標準的基于 UDP 協(xié)議的網(wǎng)絡時間同步協(xié)議。由于 UDP 無連接的特性,NTP 服務器并不能保證收到報文的源 IP 的正確性。所以,攻擊者通過將 IP 報文的源 IP 地址換為靶機的 IP 地址,并向 NTP 服務器發(fā)送大量的時間同步報文,這樣,NTP 服務器的響應報文就會達到靶機上,沾滿靶機網(wǎng)絡段的帶寬資源,同時也很難去追溯攻擊源頭。
SYN Flood 是一種利用 TCP 協(xié)議缺陷,發(fā)送大量偽造的 TCP 連接請求,從而使目標服務器資源耗盡的攻擊方式。如果客戶端只發(fā)起第一次握手,而不響應服務端的第二次握手,那么這條連接就處于半連接狀態(tài),服務端會維持這條連接一段時間(SYN Timeout)并不斷地重試。但攻擊者大量的模擬這種情況,就會沾滿整個服務端的連接符號表,并消耗大量的 CPU 資源進行重試操作。而對于 SNY Flood 的防御目前有兩種常見的方式,一種是算短 SYN Timeout,另一種是設置 SYN Cookie,并開辟一個數(shù)組存放 Cookie,單連接沒有真正建立時,不去占用連接符號表。
DNS Query Flood 通過操縱大量的傀儡機,向本網(wǎng)段的域名服務器發(fā)送大量域名解析請求,通常這些請求解析的域名是隨機生成或網(wǎng)絡上根本不存在的域名,由于本地域名服務器無法找到對應的結(jié)果,就會通過層層上次給更高級的域名服務器,引起連鎖反應,導致本網(wǎng)段內(nèi)的域名解析服務癱瘓,但一般最多只會癱瘓一小段網(wǎng)絡。
HashDos 是一種新型的,基于 Hash 碰撞形成的攻擊。隨著現(xiàn)在 RESTful 風格的不斷普及,json 格式作為數(shù)據(jù)傳輸?shù)母袷接l(fā)成為主流。但是 json 反序列化為對象時,底層是通過 hash 算法來將字段與屬性,屬性值進行一一匹配。所以,一旦攻擊者知道了我們序列化方式,構造出一段具有嚴重哈希碰撞的 json 數(shù)據(jù),就會使我們服務端序列化的復雜度從 O(1) 暴增到 O(n)。
DDos 的防御主要有兩種,一種是針對流量帶寬,一種是針對服務端資源。流量帶寬一般需要通過運營商采用 ISP 黑洞,近源清洗等策略,在源頭(即攻擊者所在的網(wǎng)段)進行攔截,而不是等到所有的細流匯聚成猛水時才進行攔截。
DDoS攻擊和CC攻擊區(qū)別都給大家都整理好了,DDoS攻擊不僅能攻擊計算機,還能攻擊路由器,因為路由器是一臺特殊類型的計算機。雖然DDoS攻擊和CC攻擊的誕生都是利用了TCP/IP 協(xié)議的缺陷,但他們還是有一定區(qū)別的。
