DDOS专题详细讲解.docVIP

DDOS专题详细讲解 DDos攻击DDOS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”DDoS攻击原理大致分为以下三种: 1.通过发送大的数据包堵塞服务器带宽造成服务器线路瘫痪; 2.通过发送特殊的数据包造成服务器TCP/IP协议模块耗费CPU内存资源最终瘫痪; 3.通过标准的连接建立起连接后发送特殊的数据包造成服务器运行的网络服务软件耗费CPU内存最终瘫痪(比如WEB SERVER、FTP SERVER、 游戏服务器等)。DDoS攻击种类可以分为以下几种:由于肉鸡的木马可以随时更新攻击的数据包和攻击方式，所以新的攻击更新非常快这里我们介绍几种常见的攻击的原理和1、SYN变种攻击发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节,这种攻击会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。2TCP混乱数据包攻击发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误导致锁死，消耗服务器CPU内存的同时还会堵塞带宽。3针对UDP协议攻击很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截，4针对WEB Server的多连接攻击通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封5针对WEB Server的变种攻击通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过 限制每个连接过来的IP连接数进行防护的方法就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解 决方案6针对WEB Server的变种攻击通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议 的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M ,所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的 数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案7针对游戏服务器的攻击因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口 7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这 里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游 戏数据包来分析出哪些是攻击哪些是正常玩家。DDoS防护　 判断网站被DDoS了的表现形式　 没有启用防火墙效果如下，流量达到36M，两台肉鸡产生的流量 启用防火墙，设定UDP包最大为512字节 流量就很小，几乎没有。 测试二、“TCP并发连接”攻击 没有启用防火墙效果如下，流量达到2.2M，两台肉鸡产生的流量，并且有大量的TCP连接 启用防火墙，并且设定相应规则 日志显示IP地址被过屏蔽，TCP连接也没有用 测试三、ICMP攻击: 没有启用防火墙效果如下，流量达到5.8M，两台肉鸡产生的流量，并且有大量的ICMP包 测试四、SYN攻击 启用防火墙效果如下，收有大量SYN网络包，没有流量。 关闭防火墙效果如下，流量一下子就到了近3M，只一台肉鸡攻击。 测试五、CC攻击 没用启用防火墙，收到大量的SYN和ACK包，两台肉鸡流量达近12M，大量的TCP连接 启用防火墙后，恢复正常