DDoS是什么东西.docx

DDoS是什么东西.docx

《DDoS是什么东西.docx》由会员分享，可在线阅读，更多相关《DDoS是什么东西.docx（29页珍藏版）》请在冰豆网上搜索。

DDoS是什么东西

不可不知DDoS的攻击原理与防御方法

2006年07月17日 09:

50天极yesky

　　DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!

DoS是DenialofService的简写就是拒绝服务，而DDoS就是DistributedDenialofService的简写就是分布式拒绝服务,而DRDoS就是DistributedReflectionDenialofService的简写,这是分布反射式拒绝服务的意思。

　　不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用占领大量的“肉鸡”。

这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。

　　DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。

但是现在的科技飞速发展，一般的网站主机都有十几台主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。

这样我们的一对一单挑式攻击就没有什么作用了，搞不好自己的机子就会死掉。

举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器（性能、网络带宽都是顶尖的）每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什么用处都没有了，而且非常有死机的可能。

要知道，你若是发送这种1Vs1的攻击，你的机器的CPU占用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

图-01DoS攻击

　　不过，科技在发展，黑客的技术也在发展。

正所谓道高一尺，魔高一仗。

经过无数次当机，黑客们终于又找到一种新的DoS攻击方法，这就是DDoS攻击。

它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。

这名黑客不是拥有很多机器，他是通过他的机器在网络上占领很多的“肉鸡”，并且控制这些“肉鸡”来发动DDoS攻击，要不然怎么叫做分布式呢。

还是刚才的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!

结果我就不说了。

图-02DDOS攻击

DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。

它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。

它的作用原理是基于广播地址与回应请求的。

一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。

这些回应是需要被接收的计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。

不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。

黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那里，而是发到被攻击主机。

这是因为黑客冒充了被攻击主机。

黑客发送请求包所用的软件是可以伪造源地址的，接到伪造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。

黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。

骇客借助了网络中所有计算机来攻击受害者，而不需要事先去占领这些被欺骗的主机，这就是Smurf攻击。

而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。

同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙于处理这些回应而瘫痪。

图-03DRDoS分布反射式拒绝服务攻击

　　解释:

　　SYN:

（Synchronizesequencenumbers）用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。

即，SYN和ACK来区分ConnectionRequest和ConnectionAccepted。

　　RST:

（Resettheconnection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。

如果接收到RST位时候，通常发生了某些错误。

　　ACK:

（Acknowledgmentfieldsignificant）置1时表示确认号（AcknowledgmentNumber）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

　　TCP三次握手:

图-04TCP三次握手

　　假设我们要准备建立连接，服务器正处于正常的接听状态。

　　第一步:

我们也就是客户端发送一个带SYN位的请求，向服务器表示需要连接，假设请求包的序列号为10，那么则为:

SYN=10，ACK=0，然后等待服务器的回应。

　　第二步:

服务器接收到这样的请求包后，查看是否在接听的是指定的端口，如果不是就发送RST=1回应，拒绝建立连接。

如果接收请求包，那么服务器发送确认回应，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是:

SYN=100，ACK=11，用这样的数据回应给我们。

向我们表示，服务器连接已经准备好了，等待我们的确认。

这时我们接收到回应后，分析得到的信息，准备发送确认连接信号到服务器。

　　第三步:

我们发送确认建立连接的信息给服务器。

确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。

即:

SYN=11，ACK=101。

　　这样我们的连接就建立起来了。

　　DDoS究竟如何攻击?

目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击，SYN-Flood也就是SYN洪水攻击。

SYN-Flood不会完成TCP三次握手的第三步，也就是不发送确认连接的信息给服务器。

这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做SYNtimeout，这段时间大约30秒-2分钟左右。

若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什么大不了的问题，但是若有人用特殊的软件大量模拟这种情况，那后果就可想而知了。

一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，这样服务器就不会再有空余去处理普通用户的正常请求（因为客户的正常请求比率很小）。

这样这个服务器就无法工作了，这种攻击就叫做:

SYN-Flood攻击。

　　到目前为止，进行DDoS攻击的防御还是比较困难的。

首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，才有可能完全抵御住DDoS攻击。

不过这不等于我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。

下面就是一些防御方法:

　　1。

确保服务器的系统文件是最新的版本，并及时更新系统补丁。

　　2。

关闭不必要的服务。

　　3。

限制同时打开的SYN半连接数目。

　　4。

缩短SYN半连接的timeout时间。

　　5。

正确设置防火墙

　　禁止对主机的非开放服务的访问

　　限制特定IP地址的访问

　　启用防火墙的防DDoS的属性

　　严格限制对外开放的服务器的向外访问

　　运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。

　　6。

认真检查网络设备和主机/服务器系统的日志。

只要日志出现漏洞或是时间变更，那这台机器就可　能遭到了攻击。

　　7。

限制在防火墙外与网络文件共享。

这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，　无疑是给了对方入侵的机会。

　　8。

路由器

　　以Cisco路由器为例

　　CiscoExpressForwarding（CEF）

　　使用unicastreverse-path

　　访问控制列表（ACL）过滤

　　设置SYN数据包流量速率

　　升级版本过低的ISO

　　为路由器建立logserver

　　能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。

DDOS

百科名片

DDOS

DDOS全名是DistributedDenialofservice（分布式拒绝服务攻击）,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模.

目录

DDoS攻击概念

DDOS的产生

被DDoS攻击时的现象

大级别攻击运行原理

黑客如何组织一次DDoS攻击

1.步骤

2.搜集了解目标的情况

3.占领傀儡机

4.实际攻击

DDOS攻击的目的

DDOS的主要几个攻击

TCP全连接攻击

1.SYN变种攻击

2.TCP混乱数据包攻击

3.针对用UDP协议的攻击

4.针对WEBServer的多连接攻击

5.针对WEBServer的变种攻击

6.针对WEBServer的变种攻击

7.针对游戏服务器的攻击

SYN攻击解析

如何防止和减少DDOS攻击的危害

1.拒绝服务攻击的发展

2.DDOS的防护方法

3.对于DDOS防御的理解

预防为主保证安全

1.DDOS应付方法

2.防御DDOS

抗DDOS产品主要厂家

寻找机会应对攻击

1.总结

DDoS攻击概念

DDOS的产生

被DDoS攻击时的现象

大级别攻击运行原理

黑客如何组织一次DDoS攻击

1.步骤

2.搜集了解目标的情况

3.占领傀儡机

4.实际攻击

DDOS攻击的目的

DDOS的主要几个攻击

TCP全连接攻击

1.SYN变种攻击

2.TCP混乱数据包攻击

3.针对用UDP协议的攻击

4.针对WEBServer的多连接攻击

5.针对WEBServer的变种攻击

6.针对WEBServer的变种攻击

7.针对游戏服务器的攻击

∙SYN攻击解析

∙如何防止和减少DDOS攻击的危害

1.拒绝服务攻击的发展

2.DDOS的防护方法

3.对于DDOS防御的理解

∙预防为主保证安全

4.DDOS应付方法

5.防御DDOS

∙抗DDOS产品主要厂家

∙寻找机会应对攻击

6.总结

展开

编辑本段DDoS攻击概念

　　DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。

　　DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。

单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。

　　这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。

你理解了DoS攻击的话，它的原理就很简单。

如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？

用100台呢？

DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

　　高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。

在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。

而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

编辑本段DDOS的产生

　　DDOS最早可追述到1996年最初，在中国2002年开始频繁出现，2003年已经初具规模。

近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大，造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。

同时windows平台的漏洞大量的被公布，流氓软件，病毒，木马大量充斥着网络，有些懂技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。

攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。

通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。

编辑本段被DDoS攻击时的现象

　　能瞬间造成对方电脑死机或者假死，我曾经测试过，攻击不到1秒钟，电脑就已经死机和假死，鼠标图标不动了，系统发出滴滴滴滴的声音，告诉你们，不要学我哦，小心将电脑主板搞坏了

编辑本段大级别攻击运行原理

　　一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：

它们分别用做控制和实际发起攻击。

请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。

对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。

在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

　　有的朋友也许会问道：

"为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？

"。

这就是导致DDoS攻击难以追查的原因之一了。

做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。

在占领一台机器后，高水平的攻击者会首先做两件事：

1.考虑如何留好后门！

2.如何清理日志。

这就是擦掉脚印，不让自己做的事被别人查觉到。

比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。

相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。

这样可以长时间地利用傀儡机。

　　但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。

这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。

但如果这是控制用的傀儡机的话，黑客自身还是安全的。

控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。

编辑本段黑客如何组织一次DDoS攻击

步骤

　　这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。

一般来说，黑客进行DDoS攻击时会经过这样的步骤：

搜集了解目标的情况

　　下列情况是黑客非常关心的情报：

　　被攻击目标主机数目、地址情况

　　目标主机的配置、性能

　　目标的带宽

　　对于DDoS攻击者来说，攻击互联网上的某个站点，如http:

//www.mytarget.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。

以yahoo为例，一般会有下列地址都是提供http:

//www.yahoo.com服务的：

　　66.218.71.87

　　66.218.71.88

　　66.218.71.89

　　66.218.71.80

　　66.218.71.81

　　66.218.71.83

　　66.218.71.84

　　66.218.71.86

　　如果要进行DDoS攻击的话，应该攻击哪一个地址呢？

使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到http:

//www.yahoo.com的话，要所有这些IP地址的机器都瘫掉才行。

在实际的应用中，一个IP地址往往还代表着数台机器：

网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。

这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。

　　所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。

简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。

有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。

　　但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。

其实做黑客也象网管员一样，是不能偷懒的。

一件事做得好与坏，态度最重要，水平还在其次。

占领傀儡机

　　黑客最感兴趣的是有下列情况的主机：

　　链路状态好的主机

　　性能好的主机

　　安全管理水平差的主机

　　这一部分实际上是使用了另一大类的攻击手段：

利用形攻击。

这是和DDoS并列的攻击方式。

简单地说，就是占领和控制被攻击的主机。

取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。

对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。

　　首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…（简直举不胜举啊），都是黑客希望看到的扫描结果。

随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。

　　总之黑客现在占领了一台傀儡机了！

然后他做什么呢？

除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。

在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。

实际攻击

　　经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。

前面的准备做得好的话，实际攻击过程反而是比较简单的。

就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令：

"预备~，瞄准~，开火!

"。

这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。

黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。

　　老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。

简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。

　　防范DDOS攻击的工具软件：

CCv2.0

　　防范DDOS比较出色的防火墙：

硬件有Cisco的Guard、Radware的DefensePro，绿盟的黑洞，傲盾硬件的KFW系列，傲盾软件的傲盾防火墙。

软件有冰盾DDOS防火墙、8SignsFirewall等。

编辑本段DDOS攻击的目的

　　黑客一般都出于商业目的，比如有人雇佣黑客对一个网站进行攻击，事后给钱，不过如果该网站报警，那么黑客和这位雇佣黑客的幕后黑手将受到法律严惩！

编辑本段DDOS的主要几个攻击

编辑本段TCP全连接攻击

　　和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS软件中非常常见，有UDP碎片还有SYN洪水，甚至还有TCP洪水攻击，这些攻击都是针对服务器的常见流量攻击

SYN变种攻击

　　发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

TCP混乱数据包攻击

　　发送伪造源IP的TCP数据包，TCP头的TCPFlags部分是混乱的可能是syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。

针对用UDP协议的攻击

　　很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，

针对WEBServer的多连接攻击

　　通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封，

针对WEBServer的变种攻击

　　通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。

这种攻击非常难防护，后面给大家介绍防火墙的解决方案

针对WEBServer的变种攻击

　　通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案

针对游戏服务器的攻击

　　因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，