第 4 层攻击(传输层)

第 4 层攻击(传输层)

我有一台运行 Asterisk PBX 的托管服务器,其规格如下:Debian 9 x86 64 位 Linux、2GB RAM、2TB 带宽和 20 GB SSD 存储。

近一天以来,服务器似乎一直处于“离线”状态。我无法通过 SSH 进入或使用 FileZilla (SFTP) 连接到它。但是,我得到了正常的 ping 响应:

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=28ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=26ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 26ms, Maximum = 30ms, Average = 27ms

C:\Users\username>ping domain.com

Pinging domain.com [IP.AD.DR.ESS] with 32 bytes of data:
Reply from IP.AD.DR.ESS: bytes=32 time=27ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=30ms TTL=51
Reply from IP.AD.DR.ESS: bytes=32 time=43ms TTL=51

Ping statistics for IP.AD.DR.ESS:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 27ms, Maximum = 43ms, Average = 32ms

有那么一小段时间,我收到了“响应超时”的消息,持续了几分钟,但几分钟后就又可以连接了,并且一直如此。

具有讽刺意味的是,这里的平均往返时间比服务器运行时略有改善!

除了昨天的几分钟外,我的 ping 都没有超时。

我联系了我的服务器管理员,他之前也遭受过 DDoS 攻击,他说这是 DDoS 攻击,唯一能做的就是等待。然而,这对我来说不合情理。当我查找如何判断这是否是 DDoS 攻击时,我一直看到的一件事是:

有几条线索表明正在进行 DDoS 攻击——洛格利

-ping 请求的 TTL(生存时间)超时

我要求我的服务器管理员联系服务器主机,但他拒绝了,说这是一次 DDoS 攻击,唯一能做的就是等待它结束,服务器主机无能为力,这一切都只是浪费时间。

就我个人而言,我对此持怀疑态度,尤其是当我通过 ping 服务器发现问题时。

当我尝试 SSHing 时,我根本什么也得不到,然后最终软件导致连接超时,而在 FileZilla 中,我得到软件导致连接中止,无法连接到服务器。

这真的是一种可能的 DDoS 攻击吗?或者可能是其他原因造成的,从而解释了为什么服务器完全无法访问,以及为什么 ping 似乎表明服务器“健康”?

哦,另外,所有对服务器的呼叫(Asterisk)都会被丢弃,所以这不可能是任何管理员特定的问题,除了 ping 回复之外,整个服务器似乎都已关闭。

答案1

服务器可能在应用程序级别受到 DoS 攻击。大多数操作系统在内核级别处理 ping 请求(ICMP 包)。服务器用户级别可能资源耗尽,但内核级别具有一些更高的优先级,允许回复 ping 请求。

然而,不能确定您的服务器是否遭受了 (D)DoS 攻击。

要了解 DDoS 的工作原理以及它如何影响服务器、网络……需要对网络有基本的了解。例如:知识OSI 模型TCP 三次握手是必须的。

大多数 DDoS 攻击都使用第 4 层或第 7 层方法。

第 4 层攻击(传输层)

SYN洪水

攻击者从多个位置或更有可能通过欺骗的源地址向受害者发送大量 SYN 消息。

目标/受害者服务器将分配资源来处理此连接。由于攻击者没有采取进一步行动,受害者服务器将处于负载状态半开连接. 这会导致拒绝服务,因为受害者没有更多资源来处理其他合法连接。

UDP 洪水攻击

攻击者发送任何类型的(随机)数据。近年来,一种称为DNS 放大 DDoS 攻击已上升为 UDP 洪水攻击。

此攻击会占用服务器的全部带宽,甚至可能占用上游提供商的带宽。由于带宽​​已满,几乎没有合法流量可以到达服务器。

第 7 层攻击(应用层)

这些类型的攻击是特定于应用程序的。

这种攻击的目的是耗尽任何系统资源。进程可能因为 CPU 使用率过高而变得无响应,但也可能因为硬盘已满而自行终止。从而导致拒绝服务。

相关内容