DDOS攻击原理与解决方案.docxVIP

DDOS的产生 DDOS最早可追述到1996年最初，在中国2002年开始频繁出现,2003年已经初具规模。近儿年由于宽带的普及，很多网站开始盈利，其 中很多非法网站利润巨大,造成同行之间互相攻击，还有一局部人利用网络攻击来敲诈钱财。同时windows平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充满着网络，有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已 经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的 网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这 台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购置，然后 遥控这些肉鸡攻击效劳器。 被DDoS攻击时的现象 ?被攻击主机上有大量等待的TCP连接 ?网络中充满着大量的无用的数据包，源地址为假 ?制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 ?利用受害主机提供的效劳或传输协议上的缺陷，反复高速的发出特定的效劳请求，使受害主机无法及时处理所有正常 请求 ?严重时会造成系统死机 大级别攻击运行原理 一个比拟完善的DDoS攻击体系分成四大局部，先来看一下最重要的第2和第3局部：它们分别用做控制和实际发起攻击。请注意控制 机与攻击机的区别，对第4局部的受害者来说，DDoS的实际攻击包是从第3局部攻击傀儡机上发出的，第2局部的控制机只发布命令 而不参与实际的攻击。对第2和第3局部计算机，黑客有控制权或者是局部 的控制权，并把相应的DDoS程序上传到这些平台上，这些 程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什 么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 有的朋友也许会问道：”为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？ 这就是导致DDoS攻击难以追查的原 因之一了。做为攻击者的角度 来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供应受害者的分析依据就越多。在占 领一台机器后，高水平的攻击者会首先做两件事：1.考虑如何留好后门！ 2,如何清理日志。这就是擦掉脚印，不让自己做的事被别人 查觉到。比拟不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法 再从日志发现是谁干的而己。相反，真正的好手会挑有关自己的日志工程删掉，让人看不到异常的情况。这样可以长时间地利用傀 儡机。 但是在第3局部攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。 这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那 么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是平安的。控制傀儡机的数目相对很少，一般一台就可以控制几十 台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也 大大降低。 步骤 这里用“组织”这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：搜集了解 目标的情况 以下情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况目标主机的配置、性能目标的带宽 对于DDoS攻击者来说，攻击互联网上的某个站点，如 :// abc ,有一个重点就是确定到底有多少台主机在支持这个站点， 一个大的网站可能有很多台主 机利用负载均衡技术提供同一个网站的www效劳。 以 abc 为例，一般会有以下地址都是提供 效劳的：…… 如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使这台机器瘫掉，但其他的主机还是能向外提供www效劳，所以 想让别人访问不到的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台 机器：网站维护者使用了四层或七层交换机来做负载 均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对 于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的效劳都不正常。 所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能到达效果的问题。简单地考虑一下，在相同的 条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好, 不管你有多少台主机我都用尽量多的傀儡机