DOSDDOS原理和攻击防御方法浅谈.docx

??DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。广义的DOS攻击是指：“任何导致被攻击的服务器不能正常提供服务的攻击方式”。DoS攻击和其他类型的攻击不大一样攻击者并不是去寻找进入内部网络的入口而是去阻止合法的用户访问资源或路由器。中国通信人博客jL5cTv?????????DOS攻击的基本原理是设法使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时攻击的效果就更明显。:m/UV5M D\S,e6OX DF0????随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这些变化都使得目标计算机有足够的资源来应付这些DoS攻击报文，这使得DoS攻击的困难程度加大，效果减小。wgE ZQ1J K0??? 在这种情况下， DDoS攻击方法就应运而生，DDoS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”，它是一种基于DoS的特殊形式的拒绝服务攻击。前面已经提到了，当今的计算机和网络速度都普遍比较快，尤其是大型服务器和数据中心，那数据处理能力和网络速度简直令人叹为观止，因此传统的基于一对一的DoS攻击效果已不再那么明显。中国通信人博客VBN/K/FS3r g/e??? 于是，我们伟大的IT高手们秉承“办法总比困难多”的励志理念，汲取街头打架斗殴场景中的精髓，既然一个人打不过，那就来群殴。中国通信人博客.\:S?2y:nd(] V$Q??????? DDoS攻击便是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令，即使性能再高的服务器也无法应付，因此产生的破坏性极大。主要目标是较大的站点，像商业公司、搜索引擎和政府部门的站点。8{Je |{#??+Q0na08x6pj~4k Opu0??????? DDoS攻击的4个组成部分：中国通信人博客7Nc$tM6te1W+o???????1).攻击者中国通信人博客-@:{4\*Nf???攻击者所用的主机，也称为攻击主控台；Z`SW*D0?????? 2).主控端中国通信人博客)g;B|:wDe0m???攻击者侵入并控制的一些主机，分别控制大量代理攻击主机；中国通信人博客2@*so PUx!Q K3I????? 3).代理攻击端!X4K`Y)z TB2PO0?? 攻击者侵入并控制的一批主机，其上面运行攻击程序，接收和运行主控端发来的命令，代理攻击端俗称“肉鸡”；)p0YE,?sk^k,\ US0????? 4).受害者r#B#C$h p%d0?? 被攻击的目标主机。]FJ.^{y[O5NO!Pv0????? DDoS攻击示意图如下：4Z8ZhS{6dT8Q VH0?? a(Qa9|AK0??? 上图为DDoS直接攻击方式，另外还有一种威力更大、更隐蔽的DDoS间接攻击方式，其原理是攻击者伪造源地址为受害者地址的SYN连接请求包发送给大量服务器，随后，服务器群会向源IP（也就是受害者）发出大量的SYN+ACK或RST包来进行响应，大量服务器的响应数据包最终在受害者处汇集为洪水，使受害者网络瘫痪，甚至死机，此攻击方式隐蔽性非常强，受害方很难找到攻击来源。其攻击示意图如下所示。中国通信人博客\ u6y*}#` ^T%F| r+{??? 中国通信人博客ybzt9Pk%Z/j#I?中国通信人博客$](} E v \f;z???? ?DDoS攻击步骤+Y X M [4R!|g0?????? 1).搜集攻击目标信息。包括目标主机的地址、配置、性能、带宽等。并根据目标主机的相关参数设计合理的攻击强度，做到知己知彼，百战不殆；y8Jq5uiD,b0????? 2).占领傀儡机。攻击者通过工具扫描互联网上那些有漏洞的机器，随后就是尝试攻击。攻击成功后，就可以占领和控制被攻击的主机，即“肉鸡”。攻击者可以利用FTP/TFTP等协议把DDoS攻击用的程序上传到“肉鸡”中。“肉鸡”包括主控端和代理端主机，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。1MK??y7f1s/zm0不过，攻击者如果想省事的话，可以直接从网络上购买“肉鸡”，一般是几角钱一只，量多优惠。这些“肉鸡”就是被黑客成功控制的计算机，并用于出售目的。O.O/XvwVj*TK0????? 3). 实施攻击。攻击者登录到作为控制台的“肉鸡”中，向所有做为代理端主机的“肉鸡”发出命令，这时候埋伏在“肉鸡”中的DDoS攻击程序就会响应控制台的命令，同时向受害主机以高速度发送大量的数据包，导致受害主机死机