Dos与DDos攻击与防范

1、四川职业技术学院计科系论文四川职业技术学院Sichuan Vocational and Technical College毕业设计（论文）题目：DOS与DDOS攻击与防范学 号 13159010201119 姓 名 刘灵 学 院 四川职业技术学院 专 业 计算机网络技术 班 级 2013级网络1班 指导教师 袁超 提交时间 2016年 7 月 15 日 目录目录1摘要：1前言：2第一章 网络安全31.1 什么是网络安全？31.2 安全特征31.3 安全体系31. 4 小结4第二章 讲述DOS（拒绝服务）52.1 什么是DOS攻击？52.2 DOS攻击概念52.3 DOS攻击的原理及方式52.4

2、 攻击方式62.4.1 SYN Flood攻击62.4.2 Land 攻击72.4.3 Smurf攻击82.4.4 UDP攻击82.5 DOS攻击分类92.5.1 利用协议中的漏洞92.5.2 利用软件实现的缺陷102.5.4 欺骗型攻击102.5.5 DOS攻击的危害性及其难以防范的原因102.5.6 DOS攻击特点112.5.7其他的DOS攻击112.6 DOS攻击的防范技术112.6.1 加固操作系统122.6.2 利用防火墙122.6.3 利用负载均衡技术122.6.4 带宽限制和QoS保证122.6.5 防火墙防御122.6.6 如何阻挡“拒绝服务”的攻击132.2.7 案例分析一1

3、32.2.8 案例分析二162.7 小结：17第三章讲述DDOS（分布式拒绝服务）183.1 什么是DDOS攻击？183.2 分布式拒绝服务的起源183.3 DDOS的攻击原理193.4 DDOS攻击的目的213.5 DDOS攻击的主要形式213.6 常见的DDOS攻击类型有四种：213.7 DDOS攻击种类223.7.1 TCP全连接攻击223.7.2 CP混乱数据包攻击223.7.3 用UDP协议的攻击233.7.4 WEB Server多连接攻击233.7.5 WEB Server变种攻击233.7.6 针对游戏服务器的攻击233.7.7 SYN Flood攻击243.7.8 ACK F

4、lood攻击243.8 DDOS的表现243.8.1被DDOS攻击时的现象243.8.2 被DDOS攻击的表现原理243.8.3 DDOS的表现形式253.8.4 判断如何被DDOS攻击的检查253.9 DDOS防范方法及防御安全策略263.9.1 过滤广播欺骗(Broadcast Spoofing)273.9.2 利用反向路径转发(RPF)过滤源IP欺骗273.9.3 过滤TCP Syn Flooding(Syn洪水攻击)273.9.4 设置Rate Limit进行过滤273.9.5 手工防护273.9.6 退让策略283.9.7 路由器283.9.8 防火墙Internet283.9.9

5、入侵检测293.10 几种常用的安全策略293.11 DDOS防御的方法：303.11.1 对于DDOS防御的理解303.11.2 采用高性能的网络设备303.11.3 尽量避免NAT的使用303.11.4 充足的网络带宽保证313.11.5 升级主机服务器硬件313.11.6 把网站做成静态页面313.11.7 增强操作系统的TCP/IP栈311、案列分析一322、案例分析二353.12 小结：35第四章总结DOS以及DDOS以及提供的工具364.1 概述总结DOS与DDOS364.2 DOS与DDOS攻击常见工具364.3 小结：38第五章讲述DOS攻击与DDOS攻击技术和防范技术今后的发

6、展趋势395.1 讲述DOS的技术未来发展趋势395.2 未来抵御DOS攻击技术措施391.IPSEC392.HIP403.IPV640总结41致谢42参考文献43 46DOS与DDOS攻击与防范摘要：随着电子商务的兴起，对网站的实时性要求越来越高，DOS或DDOS对网站的威胁越来越大。互联网的不断发展,对人们的学习和生活产生了巨大的影响和推动。人们对互联网的利用和依赖日益增加,人们通过网络互相通信,共享资源。对互联网的安全性提出了更高的要求。但由于各种网络系统及有关软件硬件的缺陷以及系统管理方面的漏洞,导致了许多安全隐患,出现了许多严重的网络安全问题,比如破坏信息,盗取机要信息,造成网络瘫痪

7、,传播病毒等。网络安全包括三个主要方面:保密性、完整性和有效性,而DOS与DDOS攻击针对的是安全的第三个方面有效性,有效性是用来预防、检测或阻止对信息和系统的未被授权的访问,并且对合法用户提供正常服务。其中DDOS攻击难以防范,而从攻击者的角度来看,攻击是非常容易的。关键词：；攻击；防范 前言： 随着Internet的应用越来越广泛，也为大家带来了方便，也为DOS与DDOS攻击创造了极为有利的条件。随着计算机技术的迅速发展和互联网应用的日益普及,网络已经成为我们获取信息、进行交流的主要渠道之一,因而网络安全也显得越来越重要。近年来,拒绝服务攻击已经成为最为严重的网络威胁之一,它不仅

8、对网络社会具有极大的危害性,也是政治和军事对抗的重要手段。最常见的DOS攻击有计算机网络带宽攻击和连通性攻击，特别是DDOS攻击对因特网构成了巨大的威胁。目前，DOS和DDOS攻击已成为一种遍布全球的系统漏洞攻击方法，无数网络用户都受到这种攻击的侵害，造成了巨大经济损失。随着网络应用的日益广泛，网络结构框架已经暴露在众多网络安全的威胁之下，其中拒绝服务(DOS)攻击和基于DOS的分布式拒绝服务(DDOS)攻击最为常见。随着高速网络的不断普及，尤其是随着近年来网络蠕虫的不断发展，更大规模DDOS攻击的威胁也越来越大。第一章 网络安全1.1 什么是网络安全？网络的安全是指通过采用各种技术和管理措施

9、，使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护。而从企业的角度来说，最重要的就是内部信息上的安全加密以及保护。1.2 安全特征1.保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。2.完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3.可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系

10、统的正常运行等都属于对可用性的攻击；4.可控性：对信息的传播及内容具有控制能力。1.3 安全体系1.访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。2.检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。3.攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。4.加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。5.认证：良好的认证体系可防止攻击者假冒合法用户。6.备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快

11、地恢复数据和系统服务。7.多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。8.隐藏内部信息，使攻击者不能了解系统内的基本情况。9.设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。1. 4 小结：本章主要介绍了网络安全的意义和目的，并对一下攻击和防范做了进一步的分析。第二章 讲述DOS（拒绝服务）2.1 什么是DOS攻击？DOS 攻 击 (Denial of Service，简称DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被攻击目标不能正常工作。2.2 DOS攻击概念 WWW安全

12、FAQ1给DOS攻击下的定义为：有计划的破坏一台计算机或者网络，使得其不能够提供正常服务的攻击。DOS攻击发生在访问一台计算机时，或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据，但是它们故意破坏资源的可用性。最普通的DOS攻击的目标是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来淹没可用的网络资源，从而合法用户的请求得不到响应，导致可用性下降。网络连通性攻击是用大量的连接请求来耗尽计算机可用的操作系统资源，导致计算机不能够再处理正常的用户请求。DOS攻击广义上指任何导致被攻击的服务器不能正常提供服务的攻击方式。具体而言,DOS攻击是指攻击网络协议实现的缺陷

13、或通过各种手段耗尽被攻击对象的资源, 以使得被攻击计算机或网络无法提供正常的服务,直至系统停止响应甚至崩溃的攻击方式。DOS攻击的服务资源包括网络带宽, 文件系统空间容量,开放的进程或者允许的连接等。2.3 DOS攻击的原理及方式 要对服务器实施拒绝服务攻击, 主要有以下两种方法: 迫使服务器的缓冲区满, 不接收新的请求; 使用IP欺骗, 迫使服务器把合法用户的连接复位, 影响合法用户的连接, 这是DOS攻击实施的基本思想。为便于理解,以下介绍一个简单的DOS攻击基本过程。如图1所示, 攻击者先向受害者发送大量带有虚假地址的请求,受害者发送回复信息后等待回传信息。由于是伪造地址,所以受害者一直

14、等不到回传信息,分配给这次请求的资源就始终不被释放。当受害者等待一定时间后, 连接会因超时被切断,此时攻击者会再度传送一批伪地址的新请求,这样反复进行直至受害者资源被耗尽,最终导致受害者系统瘫痪。图1 DOS攻击的基本原理2.4 攻击方式2.4.1 SYN Flood攻击SYN Flood攻击是一种最常见的 DOS攻击手段，它利用TCP/IP连接的 “三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时

15、。如果系统资源被大量此类未完成的连接占用，系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。 Syn Flood原理 - 三次握手 ，Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。图2 SYN Flood攻击 如图2，在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(A

16、CK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程，而Syn Flood攻击者不会完成三次握手。 图3 三次握手如图3，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟

17、并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。 2.4.2 Land

18、 攻击 Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址，这样服务器接收到该数据包后会向自己发送一个SYNACK 回应包，SYNACK又引起一个发送给自己的ACK包，并创建一个空连接。每个这样的空连接到将暂存在服务器中，当队列足够长时，正常的连接请求将被丢弃，造成服务器拒绝服务的现象。2.4.3 Smurf攻击 如图4所示，Smurf攻击是一种放大效果的ICMP攻击方式，其方法是攻击者伪装成被攻击者向某个网络上

19、的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。例如，攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包，该网络上的254台主机就会对被攻击者的IP发送ICMP回应包，这样攻击者的攻击行为就被放大了 254 倍。ICMP Smurf 的袭击加深了ICMP的泛滥程度，导致了在一个数据包产生成千的ICMP数据包发送到一个根本不需要它们的主机中去，传输多重信息包的服务器用作Smurf 的放大器。图4工作原理2.4.4 UDP攻击 UDP攻击是指通过发送UDP数据包来发动攻击的方式。

20、在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务，只要被攻击者开放有一个UDP服务端口，即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。 1.UDP Fraggle攻击的原理与Smurf攻击相似，也是一种“放大”式的攻击，不同的是回应代替了ICMP回应。2.DNS Query Flood攻击是一种针对DNS服务器的攻击行为。攻击者向DNS的UDP 53端口发送大量域名查询请求

21、，占用大量系统资源，使服务器无法提供正常的查询请求。3.DOS攻击的基本过程包括以下几个阶段：攻击者向被攻击者发送众多的带有虚假地址的请求；被攻击者发送响应信息后等待回传信息；由于得不到回传信息，使系统待处理队列不断加长，直到资源耗尽，最终达到被攻击者出现拒绝服务的现象。2.5 DOS攻击分类2.5.1 利用协议中的漏洞 一些传输协议在其制定过程中可能存在着一些漏洞。攻击者可以利用这些漏洞进行攻击致使接受数据端的系统当机、挂起或崩溃。这种攻击较为经典的例子是半连接SYNFlood攻击,如图2所示,该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应, 这

22、样,目的主机就为这些源主机建立了大量的连接队列, 而且由于没有收到ACK就一直维护着这些队列, 造成了资源的大量消耗而不能向正常请求提供服务。这种攻击利用的是TCP/IP协议的/ 三次握手0的漏洞完成。由于攻击所针对的是协议中的缺陷,短时无法改变, 因此较难防范。2.5.2 利用软件实现的缺陷软件实现的缺陷是软件开发过程中对某种特定类型的报文或请求没有处理, 导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。这些异常条件通常在用户向脆弱的元素发送非期望的数据时发生。攻击者攻击时是利用这些缺陷发送经过特殊构造的数据包, 从而导致目标主机的瘫痪,图52.5.3 发送大量无用突

23、发数据攻击耗尽资源这种攻击方式凭借手中丰富的资源,发送大量的垃圾数据侵占完资源, 导致DOS。如ICMPFlood, ConnectionFlood等。为了获得比目标系统更多资源, 通常攻击者会发动DDOS攻击,从而控制多个攻击傀儡发动攻击,这样能产生更大破坏。2.5.4 欺骗型攻击这类攻击通常是以伪造自身的方式来取得对方的信任从而达到迷惑对方瘫痪其服务的目的。最常见的是伪造自己的IP或目的IP(通常是一个不可到达的目标或受害者的地址) ,或伪造路由项目、或伪造DNS解析地址等,受攻击的服务器因为无法辨别这些请求或无法正常响应这些请求就会造成缓冲区阻塞或死机。如IPSpoofing DOS攻击

24、。2.5.5 DOS攻击的危害性及其难以防范的原因DOS攻击的危害性主要在于使被攻击主机系统的网络速度变慢甚至无法访问无法正常地提供服务; 最终目的是使被攻击主机系统瘫痪、停止服务。该网络上DOS攻击工具种类繁多,攻击者往往不需要掌握复杂技术, 利用这些工具进行攻击就能够奏效。尽管可以通过增加带宽来减少DOS攻击的威胁,但攻击者总是可以利用更大强度的攻击以耗尽增加的资源。使得DOS攻击成为一种当前难以防范的攻击方式。2.5.6 DOS攻击特点 DOS攻击针对的是互联网上的网络和设备,目的是使其无法继续工作。它不需要攻击者具备很好的技术能力,任何人只要有攻击程序, 就可以让未受保护的网络和设备失

25、效, 因此DOS攻击相对简单, 且容易达到目的。现在, 随着DDOS和DR-DOS出现和进一步发展,DOS攻击的破坏力变得更大, 也更难以防范和追根溯源。2.5.7 其他的DOS攻击 其他的DOS攻击手法主要有利用TCP/IP协议进行的TCPDOS攻击, 如SYNFlood攻击、Land攻击、Teardrop攻击; 利用UDP服务进行的UDPDOS攻击, 如UDP FlooDDOS攻击; 利用ICMP协议进行的ICMPDOS攻击,如Pingof Death攻击、Smurf 攻击等。1.带宽攻击：这是最古老、最常见的DOS攻击。在这种攻击中，黑客使用数据流量填满网络。脆弱的系统或网络由于不能处理

26、发送个他的大量流量而导致系统崩溃或响应速度减慢，从而阻止了合法用户的访问。2.协议攻击：这是一种需要更多技巧的攻击，它正变得越来越流行。这里，恶意黑客以目标系统从来没有想到的方式发送数据流，如攻击者发送大量的SYN数据包。3.逻辑攻击：这种攻击包含了对组网技术的深刻理解，因此也是一种最高级的攻击类型。逻辑攻击的一个典型的实例是LAND攻击，这里，攻击者发送具有相同源IP地址和目标IP地址的伪造数据包。很多系统不能够处理这种引起混乱的行为，从而导致崩溃。2.6 DOS攻击的防范技术根据上述DOS攻击原理和不断更新的攻击技术，很少有网络可以免受DOS攻击，DOS防御存在许多挑战。主要原因：1.是分

27、组、分组头、通信信道等都有可能在攻击过程中改变，导致DOS攻击流不存在能用于检测和过滤的共同特性；2.是分布资源的协作使DOS攻击难以防御和跟踪，同时，资源、目标和中间域之间缺乏合作也不能对攻击做出快速、有效和分布式的响应；3.是攻击者紧跟安全技术的进展，不断调节攻击工具逃避安全系统检查。面对此种情况，可以从以下几个方面来防范DOS攻击。2.6.1 加固操作系统对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数，可在一定程度上提高系统的抗攻击能力。2.6.2 利用防火墙防火墙是防御DOS攻击最有效的

28、办法，目前很多厂商的防火墙中都注入了专门针对DOS攻击的功能。现在防火墙中防御DOS攻击的主流技术主要有两种：连接监控（TCP Interception）和同步网关（SYN Gateway）两种。2.6.3 利用负载均衡技术就是把应用业务分布到几台不同的服务器上，甚至不同的地点。采用循环DNS服务或者硬件路由器技术，将进入系统的请求分流到多台服务器上。这种方法要求投资比较大，相应的维护费用也高。2.6.4 带宽限制和QoS保证 通过对报文种类、来源等各种特性设置阀值参数，保证主要服务，稳定可靠的资源供给，防止有限资源被过度消耗。以上方法对流量小、针对性强、结构简单的DOS攻击进行防范还是很有效

29、的。而对于DDOS攻击、DRoS攻击等攻击，则需要能够应对大流量的防范措施和技术，需要能够综合多种算法、集多种网络设备功能的集成技术2.6.5 防火墙防御防火墙是防御DOS攻击最有效的办法之一，目前很多厂商的防火墙都注入了专门针对 DOS 攻击的功能。现在防火墙中御 DOS 攻击的主流技术主要有连接监控( TCP Interception)和同步网关(SYN Gateway)两种。 2.6.6 如何阻挡“拒绝服务”的攻击由于DOS攻击的最终目标是瘫痪服务器应该从加强服务器自身防御能力。阻挡“拒绝服务”的攻击的常用方法之一是：在网络上建立一个过滤器（filter）或侦测器（sniffer），在信

30、息到达网站服务器之前阻挡信息。过滤器会侦察可疑的攻击行动。如果某种可疑行动经常出现，过滤器能接受指示，阻挡包含那种信息，让网站服务器的对外连接线路保持畅通。2.2.7 案例分析一本次案例分析采用实验的方式来验证DOS攻击，采用SYN攻击。【实验步骤】如下：1.登录到Windows实验台中 登录到Windows实验台，并从实验工具箱取得syn攻击工具XDoc。2.Windows实验台cmd下运行xDOS攻击工具 XDOS运行界面如图所示。 XDOS命令举例演示如下：xDOS 3 139 t 3 s 5 9 为被攻击主机的ip地址（实验

31、时请以被攻击主机真实ip为准） 139为连接端口 -t 3 表示开启的进程 -s 后跟的ip地址为syn数据包伪装的源地址的起始地址3.如图6所示，运行显示如图，Windows实验台正在对本地发送syn数据包。图64. 如图7所示，在目标主机使用wireshark抓包，如图8所示，可以看到大量的syn向9主机发送，并且将源地址改为5后面的ip地址。图7图84.本地主机状态 在目标主机使用命令netstat -an查看当前端口状态，如图9所示，就会发现大量的syn_received状态的连接，表示9主机接受到syn数据包，但并未受到ac

32、k确认数据包，即tcp三次握手的第三个数据包。图9当多台主机对一台服务器同时进行syn攻击，服务器的运行速度将变得非常缓慢。5.实验总结在SYN Flood攻击中，黑客机器向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYNACK包，并等待源端返回ACK包，拒绝服务攻击（Denial of Service，DOS）是目前比较有效而又非常难于防御的一种网络攻击方式，它的目的就是使服务器不能够为正常访问的用户提供服务。所以，DOS对一些紧密依靠互联网开展业务的企业和组织带来了致命的威胁。2.2.8 案例分析二本次实验采用模拟UDP Flood软件攻击1.

33、UDP Flood是一种采用UDP-Flood 攻击方式的DOS软件，它可以向特定的IP地址和端口发送UDP包。在IPhostname和port窗口中指定目标主机的IP地址和端口号，Max duration设定最长的攻击时间，在speed窗口中可以设置UDP包发送的速度，在data框中，定义UDP数据包包含的内容，缺省情况下为UDP Flood.Server stress test的text文本内容。单击Go按钮即可对目标主机发起UDP-Flood攻击。2.如下图10所示。图103.如图11所示，输入ipconfig /all命令查看图114. 如图12所示，在被攻击主机中可以查看收到的UDP

34、数据包图125.实验总结通过本次实验主要学会了使用DOS攻击工具对目标主机进行攻击；进一步理解了DOS攻击的原理及其实施过程。2.7 小结：本章主要讲述了DOS（拒绝服务）的原理及攻击方式和防范技术。用实验方式来验证DOS攻击。第三章讲述DDOS（分布式拒绝服务）3.1 什么是DDOS攻击？分布式拒绝服务攻击的英文意思是Distributed Denial of Service，简称DDOS。它利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DOS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心适时启动全体受控主机的DOS服务进程，让它们对一个特

35、定目标发送尽可能多的网络访问请求，形成一股DOS洪流冲击目标系统，猛烈的DOS攻击同一个网站。在寡不敌众的力量抗衡下，被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪、崩溃。3.2 分布式拒绝服务的起源分布式拒绝服务 用户对于这个话题似乎已经不再陌生,在当今的网络当中用户能够经常听见此类事件的发生，比如说唐山黑客事件中，所利用的黑客技术就是DDOS攻击。这种攻击方法的可怕之处是会造成用户无法对外进行提供服务，时间一长将会影响到网络流量，造成用户经济上的严重损失。造成这种类型攻击的最主要原因就是商业竞争、打击报复和网络敲诈等多种因素，从实际情况来说DDOS是不可能完全防范的，不

36、过用户必须要从最大程度上做好防范DDOS攻击的措施，使用户在遭受DDOS攻击后的损失减至最低。英文名DDOS，是Distributed Denial of Service的缩写,俗称洪水攻击。分布式拒绝服务的起源：1999年7月份左右，微软公司的视窗操作系统的一个bug被人发现和利用，并且进行了多次攻击，这种新的攻击方式被称为“分布式拒绝服务攻击”即为“DDOS（Distributed Denial Of Service Attacks）”。这也是一种特殊形式的拒绝服务攻击。单一的DOS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的

37、。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DOS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段（DDOS）就应运而生了DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹

38、如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源。3.3 DDOS的攻击原理 众所周知，DOS(Denial of Service，拒绝服务攻击) 是DDOS的基础，它利用了TCP三次握手过程的空子。攻 击者首先向服务器发送带有虚假地址的Syn连接请求，服 务器接lJSyn请求信息之后就发送Syn+ACK或RST回复 信息，然后等待回传信息。由于地址是虚假的，所以服 务器一直等不到回传的消息分配给这次请求的服务器 资源就始终无法被释放。当服务器等待一定的时间后， 连接会因超时而被中断。攻击者会再度传送一批新的请 求，在这种反复不断地、无休止地发送伪地址

39、请求的情 况下，服务器资源在漫长的回应等待中最终被耗尽。 单一的DOS攻击是一对一的。若被攻击目标计算机 的CPU速度低、内存小或网络带宽窄等各项性能指标不 高，其攻击效果比较明显。然而，随着计算机处理能力 的大大提高和网络技术的高速发展，其对恶意攻击包的 承受能力大为提高，使得攻击者对目标的攻击效果大打 折扣。于是攻击者们又找到了另一种新的DOS攻击方法，RpDDOS。DDOS是利用多台计算机，采用分布式对单个或多个目标同时发起DOS攻击。攻击者首先寻找在互联网上有系统漏洞(Bug)的计算机，窃取其IP地址、用户名 和登录密码等数据，进入系统后安装后门程序，即木马 病毒。这些被安装了特定程序

40、、受到攻击者控制的各类计算机，充当了傀儡角色。攻击者发动攻击的时候，通常攻击者本身并不直接参与，而是利用这些傀儡。攻击时，攻击者向主控端发送攻击命令，主控端又把这些指令送到代理主机上，代理端是真正向受害者发起攻击的 直接执行者。现今全球网络广泛连接，给我们的生活带来了方便，同时也为DDOS攻击创造了极为有利的条件。现在，各大城市之间网络带宽都为G级，这使得网络攻击者更容易从远程城市，甚至从其他国家发起攻击，受控制的代理端主机可以分布在更大范围，甚至可以跨越国界遍布全世界，选择和利用它更灵活、更方便，攻击者隐藏起来更难以寻迹。DDOS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机

41、，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。图1DDOS攻击方式1.如图1所示，可以看出，DDOS的攻击分为三层:攻击者、主控端和代理端，三者在攻击中扮演着不同的角色。2.攻击者 攻击者所用的计算机是攻击主控台。攻击者操纵整个攻击过程，并向主控端发送攻击命令。3.主控端 主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制着大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。设置主控端的目的是隔离网络联系，保护攻击者在攻击时不受监控系统的跟踪，同时能更好的协调进攻。4.代理端 代理端同样是攻

42、击者侵入并控制的一批主机，在它们的上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的直接执行者。攻击者发起DDOS攻击的第一步就是在Internet上寻找有漏洞的主机，进入系统后在其上面安装后门程序，获得对系统的直接访问权。第二步是在入侵主机上安装攻击程序，让一部分主机充当攻击的主控端，另一部分主机充当攻击的代理端，最后在攻击者的调遣下对攻击对象发起攻击。 由于攻击者的位置灵活，又使用了常见的协议，因此在攻击时不会受到监控系统的跟踪，身份也不易被发现。3.4 DDOS攻击的目的 分布式拒绝服务(DDOS:Distributed Denial of Service)攻击指借助于客

43、户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDOS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。3.5 DDOS攻击的主要形式1.通过大量伪造的IP 向某一固定目标发出高流量垃圾数据，造成网络拥塞，使被攻击主机无法与外界通信。2.利用被攻击主机提供的服务或传输协议上的缺陷，反复高速地发送对某特定服务的连接请求，使被攻击主

44、机无法及时处理正常业务。3.利用被攻击主机所提供服务中数据处理上的缺陷，反复高速地发送畸形数据引发服务程序错误，大量占用系统资源，使被攻击主机处于假死状态，甚至导致系统崩溃。3.6 常见的DDOS攻击类型有四种：1. 带宽消耗 攻击者消耗掉某个网络的所有可用带宽。攻击者本身有更多的可用带宽或征用多个站点集中拥塞受害者的网络连接。2. 资源衰竭 攻击者消耗掉诸如CPU利用率，内存之类的系统资源。攻击者拥有一定数量的系统资源的合法访问权，但滥用其消耗额外的资源。3.编程缺陷 是指应用程序或者操作系统在处理异常条件是时的失败。每个程序、操作系统都有缺陷，攻击者利用这个规律，向目标系统发送非正常格式的

45、分组让网络协议栈或系统陷入异常。4. 路由和DNS攻击 操纵路由表项（利用路由协议认证机制的弱点 ，变换合法路径）；改变受害者DNS高速缓存的正确地址信息。拒绝服务攻击的进一步发展分布式DOS攻击，是一种基于DOS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。DDOS攻击是利用一批受控制的机器向某一台机器发起攻击，攻击者实用的计算机数量和能占用的带宽是没有限制的，因此具有极大的破坏性。3.7 DDOS攻击种类3.7.1 TCP全连接攻击和SYN攻击不同，它是用合法并完整的连接攻击对方，SYN攻击采用的是半连接攻击方式，而

46、全连接攻击是完整的，合法的请求，防火墙一般都无法过滤掉这种攻击，这种攻击在现在的DDOS软件中非常常见，有UDP碎片还有SYN洪水，甚至还有TCP洪水攻击，这些攻击都是针对服务器的常见流量攻击 4:2900 8:80 ESTABLISHED 4:2901 8:80 ESTABLISHED 4:2902 8:80 ESTABLISHED 4:2903 8:80 ESTABLISHED 通过这里可以看出

47、4这个IP对8这台服务器的80端口发动TCP 全连接攻击，通过大量完整的TCP链接就有可能让服务器的80端口无法访问。SYN变种攻击：发送伪造源IP的SYN数据包，但是数据包不是64字节而是上千字节，这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 3.7.2 CP混乱数据包攻击发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn,ack,syn+ack,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 3.7.3 用UDP协议的攻击很多聊天室，视频音频软件，都是通过

48、UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截。 3.7.4 WEB Server多连接攻击通过控制大量肉鸡同时连接访问网站，造成网站瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封。 3.7.5 WEB Server变种攻击通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节

49、是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案。 3.7.6 针对游戏服务器的攻击一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错，但是不能从根本上来分析TCP,UDP协议，和针对应用层的协议，比如

50、http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞，或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。3.7.7 SYN Flood攻击SYN-Flood攻击是当前网络上最为常见的DDOS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。这种攻击早在1996年就被发现，但至今仍然显示出强大的生命力。很多操作系统，甚至防

51、火墙、路由器都无法有效地防御这种攻击，而且由于它可以方便地伪造源地址，追查起来非常困难。它的数据包特征通常是，源发送了大量的SYN包，并且缺少三次握手的最后一步握手ACK回复。3.7.8 ACK Flood攻击ACK Flood攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。

52、3.8 DDOS的表现3.8.1被DDOS攻击时的现象1.被攻击主机上有大量等待的TCP连接 2.网络中充斥着大量的无用的数据包，源地址为假 3.制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 4.利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 5. .系统服务器CPU利用率极高，处理速度缓慢，甚至宕机6. 被DDOS攻击后，服务器出现木马、溢出等异常现象3.8.2 被DDOS攻击的表现原理当对一个Web站点执行 DDOS 攻击时，这个站点的一个或多个Web服务会接到非常多的请求，最终使它无法再正常使用。在一个DDOS

53、攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。典型的DDOS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保护的计算机内，在这些计算机上藏匿DDOS程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。在我国，DDOS攻击多数来自美国，占39，而中国是拒绝服务攻击的主要目标，占63%。这是亚太及日本地区互联网安全威胁报告中的一部分数据。中国成为DDOS攻击的主要目标。据介绍，凡是能导致合法用户不能够访问正常网络服务的行为都属“拒绝服务攻击”。出于商业竞争、打击报复和

54、网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。3.8.3 DDOS的表现形式 DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 3.8.4 判断如何被D

55、DOS攻击的检查如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一 点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象

56、是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。 相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping