DDOS介紹

DDOS(Distributed Denial of Service)
分布式拒絕服務(wù)攻擊
指借助于客戶/服務(wù)器技術(shù)硅瞧,將多個計算機聯(lián)合起來作為攻擊平臺涌穆,
對一個或多個目標(biāo)發(fā)動DDoS攻擊粪狼,從而成倍地提高拒絕服務(wù)攻擊的威力。

攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上芜果,
在一個設(shè)定的時間,主控程序?qū)⑴c大量代理程序通訊毒涧,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上苏携,
代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)箭跳,主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行

DDoS就是利用更多的傀儡機(肉雞)來發(fā)起進攻
攻擊方式
DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源晨另,以達到癱瘓網(wǎng)絡(luò)的目的。 這種攻擊方式可分為以下幾種:
1.  通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊谱姓;
2.  通過向服務(wù)器提交大量請求,使服務(wù)器超負荷刨晴;
3.  阻斷某一用戶訪問服務(wù)器屉来;
4.  阻斷某服務(wù)與特定系統(tǒng)或個人的通訊路翻。


IP Spoofing
IP欺騙攻擊是一種黑客通過向服務(wù)端發(fā)送虛假的包以欺騙服務(wù)器的做法。
具體是將包中的源IP地址設(shè)置為不存在或不合法的值茄靠。
服務(wù)器一旦接受到該包便會返回接受請求包茂契,但實際上這個包永遠返回不到來源處的計算機。
這種做法使服務(wù)器必需開啟自己的監(jiān)聽端口不斷等待慨绳,也就浪費了系統(tǒng)各方面的資源掉冶。


LAND attack
這種攻擊方式與SYN floods類似,不過在LAND attack攻擊包中的源地址和目標(biāo)地址都是攻擊對象的IP脐雪。
這種攻擊會導(dǎo)致被攻擊的機器死循環(huán)厌小,最終耗盡資源而死機。

ICMP floods
ICMP floods是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法战秋。

Application
與前面敘說的攻擊方式不同璧亚,Application level floods主要是針對應(yīng)用軟件層的,也就是高于OSI的脂信。
它同樣是以大量消耗系統(tǒng)資源為目的癣蟋,通過向IIS這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡(luò)服務(wù)。
攻擊現(xiàn)象
1.  被攻擊主機上有大量等待的TCP連接狰闪;
2.  網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包疯搅;
3.  源地址為假 制造高流量無用數(shù)據(jù),造成網(wǎng)絡(luò)擁塞埋泵,使受害主機無法正常和外界通訊幔欧;
4.  利用受害主機提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請求,使主機無法處理所有正常請求秋泄;
5.  嚴(yán)重時會造成系統(tǒng)死機琐馆。
6.  突然產(chǎn)生巨大的攻擊流量。借助流量監(jiān)控設(shè)備恒序,可以及時發(fā)現(xiàn)異常流量的突現(xiàn)瘦麸。
7.  會產(chǎn)生大量的SYN數(shù)據(jù)包,借助wireshark抓包分析歧胁,可以迅速發(fā)現(xiàn)這些攻擊特征滋饲。
按照TCP/IP協(xié)議的層次可將DDOS攻擊分為
基于ARP的攻擊、基于ICMP的攻擊喊巍、基于IP的攻擊屠缭、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊崭参。

基于ARP
ARP是無連接的協(xié)議呵曹,當(dāng)收到攻擊者發(fā)送來的ARP應(yīng)答時。它將接收ARP應(yīng)答包中所提供的信息。更新ARP緩存奄喂。
因此铐殃,含有錯誤源地址信息的ARP請和含有錯誤目標(biāo)地址信息的ARP應(yīng)答
均會使上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求,
使得目標(biāo)主機喪失網(wǎng)絡(luò)通信能力跨新。產(chǎn)生拒絕服務(wù)富腊,如ARP重定向攻擊。

基于ICMP
攻擊者向一個子網(wǎng)的廣播地址發(fā)送多個ICMP Echo請求數(shù)據(jù)包域帐。
并將源地址偽裝成想要攻擊的目標(biāo)主機的地址赘被。
這樣,該子網(wǎng)上的所有主機均對此ICMP Echo請求包作出答復(fù)肖揣,
向被攻擊的目標(biāo)主機發(fā)送數(shù)據(jù)包民假,使該主機受到攻擊,導(dǎo)致網(wǎng)絡(luò)阻塞许饿。

基于IP
TCP/IP中的IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時阳欲,數(shù)據(jù)包可以分成更小的片段。到達目的地后再進行合并重裝陋率。
在實現(xiàn)分段重新組裝的進程中存在漏洞球化,缺乏必要的檢查。
利用IP報文分片后重組的重疊現(xiàn)象攻擊服務(wù)器瓦糟,進而引起服務(wù)器內(nèi)核崩潰筒愚。
如Teardrop是基于IP的攻擊。

基于應(yīng)用層
應(yīng)用層包括SMTP菩浙,HTTP巢掺,DNS等各種應(yīng)用協(xié)議。
其中SMTP定義了如何在兩個主機間傳輸郵件的過程劲蜻,
基于標(biāo)準(zhǔn)SMTP的郵件服務(wù)器陆淀,在客戶端請求發(fā)送郵件時,是不對其身份進行驗證的先嬉。
另外轧苫,許多郵件服務(wù)器都允許郵件中繼。攻擊者利用郵件服務(wù)器持續(xù)不斷地向攻擊目標(biāo)發(fā)送垃圾郵件疫蔓,大量侵占服務(wù)器資源含懊。

DDOS 的表現(xiàn)形式主要有兩種
流量攻擊
主要是針對網(wǎng)絡(luò)帶寬的攻擊,即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞衅胀, 合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機岔乔; 
資源耗盡攻擊
主要是針對服務(wù)器主機的攻擊,即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完滚躯,造成的無法提供網(wǎng)絡(luò)服務(wù)雏门。

判斷網(wǎng)站是否遭受了流量攻擊
通過 Ping 命令來測試嘿歌,若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重(假定平時是正常的),則可能遭受了流量攻擊
沒有被路由器和防火墻等設(shè)備屏蔽



資源耗盡攻擊
假如平時 Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的剿配,發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了搅幅,
而 Ping還可以Ping通阅束,則很可能遭受了資源耗盡攻擊 
此時若在服務(wù)器上用netstat -an命令觀察到有大量的SYN_RECEIVED呼胚、TIME_W AIT、FIN_W AIT_1 等狀態(tài)存在息裸,
而EST BLISHED 很少蝇更,則可判定肯定是遭受了資源耗盡攻擊。

還有一種現(xiàn)象是呼盆,Ping 自己的網(wǎng)站主機 Ping 不通或者是丟包嚴(yán)重年扩,
而 Ping與自己的主機在同一交換機上的服務(wù)器則正常,
原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令访圃,
其實帶寬還是有的厨幻,否則就Ping不通接在同一交換機上的主機了。

centos7 最小化安裝之后腿时,默認是沒有 ifconfig,netstat命令的况脆;
yum -y install net-tools 即可;

攻擊手段

當(dāng)前主要有三種流行的 DDOS:

1批糟、SYN/ACK Flood 攻擊:
經(jīng)典最有效的 DDOS 方法格了,可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù), 
主要是通過向受害主機發(fā)送大量偽造源 IP 和源端口的 SYN 或 ACK 包徽鼎,
導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)盛末, 由于源都是偽造的故追蹤起來比較困難, 
缺點是實施起來有一定難度否淤, 需要高帶寬的僵尸主機支持悄但。 
少量的這種攻擊會導(dǎo)致主機服務(wù)器無法訪問, 但卻可以 Ping 的通石抡, 
在服務(wù)器上用 Netstat -na 命令會觀察到存在大量的 SYN_RECEIVED 狀態(tài)檐嚣,
大量的這種攻擊會導(dǎo)致 Ping 失敗、TCP/IP 棧失效汁雷,并會出現(xiàn)系統(tǒng)凝固現(xiàn)象净嘀,即不響應(yīng)鍵盤和鼠標(biāo)。
普通防火墻大多無法抵御此種攻擊侠讯。


2挖藏、TCP 全連接攻擊:
為了繞過常規(guī)防火墻的檢查而設(shè)計的,一般情況下厢漩,
常規(guī)防火墻大多具備過濾 T earDrop膜眠、Land 等 DOS 攻擊的能力,但對于正常的 TCP 連接是放過的,
殊不知很多網(wǎng)絡(luò)服務(wù)程序(如:IIS宵膨、Apache 等 Web 服務(wù)器)能接受的 TCP 連接數(shù)是有限的架谎,
一旦有大量的 TCP 連接,即便是正常的辟躏,也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問谷扣,
TCP 全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的 TCP 連接,
直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨捎琐, 從而造成拒絕服務(wù)会涎,
這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的,
缺點是需要找很多僵尸主機瑞凑,并且由于僵尸主機的 IP 是暴露的末秃,因此容易被追蹤。


3籽御、刷 Script 腳本攻擊
針對存在 ASP练慕、JSP、PHP技掏、CGI等腳本程序铃将,并調(diào)用 MSSQLServer、MySQLServer零截、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計麸塞,
特征是和服務(wù)器建立正常的 TCP 連接, 并不斷的向腳本程序提交查詢涧衙、 列表等大量耗費數(shù)據(jù)庫資源的調(diào)用哪工, 
一般來說, 提交一個 GET 或 POST 指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的弧哎,
而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄雁比, 這種處理過程對資源的耗費是很大的, 
常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行撤嫩,而這對于客戶端來說卻是輕而易舉的偎捎,
因此攻擊者只需通過 Proxy 代理向主機服務(wù)器大量遞交查詢指令, 只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)序攘,
常見的現(xiàn)象就是網(wǎng)站慢如蝸牛茴她、ASP 程序失效、PHP 連接數(shù)據(jù)庫失敗程奠、數(shù)據(jù)庫主程序占用 CPU 偏高丈牢。
這種攻擊的特點是可以完全繞過普通的防火墻防護, 輕松找一些 Proxy 代理就可實施攻擊瞄沙, 
缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣己沛,并且有些 Proxy 會暴露攻擊者的 IP 地址慌核。

怎么抵御 DDOS
完全杜絕 DDOS是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的 DDOS 攻擊是可以做到的申尼,
基于攻擊和防御都有成本開銷的緣故垮卓,若通過適當(dāng)?shù)霓k法增強了抵御 DDOS 的能力,也就意味著加大了攻擊者的攻擊成本师幕,
那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄粟按,也就相當(dāng)于成功的抵御了DDOS 攻擊。



防御基礎(chǔ)


對DoS和DDoS的防范主要從下面幾個方面考慮:
1.  盡可能對系統(tǒng)加載最新補丁们衙,并采取有效的合規(guī)性配置钾怔,降低漏洞利用風(fēng)險;
2.  采取合適的安全域劃分蒙挑,配置防火墻、入侵檢測和防范系統(tǒng)愚臀,減緩攻擊忆蚀。
3.  采用分布式組網(wǎng)、負載均衡姑裂、提升系統(tǒng)容量等可靠性措施馋袜,增強總體服務(wù)能力。



參考措施

1舶斧、采用高性能的網(wǎng)絡(luò)設(shè)備引
保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸欣鳖,因此選擇路由器、交換機茴厉、硬件防火墻等設(shè)備的時候要盡量選用知名度高泽台、口碑好的產(chǎn)品。
假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議矾缓,
當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS 攻擊是非常有效的怀酷。

2、盡量避免 NAT 的使用
路由器或硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的使用嗜闻, 因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力蜕依,
因為 NAT 需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算琉雳,
因此浪費了很多 CPU 的時間样眠,但有些時候必須使用 NAT,那就沒有好辦法了翠肘。

3檐束、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有 10M 帶寬的話锯茄,
無論采取什么措施都很難對抗當(dāng)今的 SYNFlood 攻擊厢塘,至少要選擇 100M 的共享帶寬茶没,
最好的當(dāng)然是掛在1000M 的主干上了。
注意的是晚碾,主機上的網(wǎng)卡是 1000M 的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的抓半,若把它接在 100M 的交換機上,
它的實際帶寬不會超過 100M格嘁,再就是接在 100M的帶寬上也不等于就有了百兆的帶寬笛求,
因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚糕簿。

4探入、升級主機服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置懂诗,要有效對抗每秒 10萬個 SYN 攻擊包蜂嗽,
服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是 CPU 和內(nèi)存殃恒,
若有志強雙 CPU 的話就用它吧植旧,內(nèi)存一定要選擇 DDR 的高速內(nèi)存,硬盤要盡量選擇SCSI 的离唐,
別只貪 IDE 價格不貴量還足的便宜病附,否則會付出高昂的性能代價,
再就是網(wǎng)卡一定要選用 3COM 或 Intel 等名牌的亥鬓,若是 Realtek 的還是用在自己的 PC 上吧完沪。

5、把網(wǎng)站做成靜態(tài)頁面
提高抗攻擊能力嵌戈,給黑客入侵帶來不少麻煩覆积,至少到為止關(guān)于 HTML 的溢出還沒出現(xiàn),
新浪咕别、搜狐技健、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調(diào)用惰拱,那就把它弄到另外一臺單獨主機去雌贱,
免的遭受攻擊時連累主服務(wù)器,當(dāng)然偿短,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的欣孤, 
此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問昔逗,因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為降传。

6.硬件防火墻
將服務(wù)器放到具有DDoS硬件防火墻的機房。
專業(yè)級防火墻通常具有對異常流量的清洗過濾功能勾怒,
可對抗SYN/ACK攻擊婆排、TCP全連接攻擊声旺、刷腳本攻擊等等流量型DDoS攻擊

7.單個主機
(1)及時修復(fù)系統(tǒng)漏洞,升級安全補丁段只。
(2)關(guān)閉不必要的服務(wù)和端口腮猖,減少不必要的系統(tǒng)加載項及自啟動項,盡可能減少服務(wù)器中執(zhí)行較少的進程赞枕,更改工作模式
(3)iptables
(4)嚴(yán)格控制賬戶權(quán)限澈缺,禁止root登錄,密碼登錄炕婶,修改常用服務(wù)的默認端口

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末姐赡,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子柠掂,更是在濱河造成了極大的恐慌项滑,老刑警劉巖,帶你破解...
    沈念sama閱讀 217,277評論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件陪踩,死亡現(xiàn)場離奇詭異杖们,居然都是意外死亡,警方通過查閱死者的電腦和手機肩狂,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,689評論 3 393
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來姥饰,“玉大人傻谁,你說我怎么就攤上這事×蟹啵” “怎么了审磁?”我有些...
    開封第一講書人閱讀 163,624評論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀的道長岂座。 經(jīng)常有香客問我态蒂,道長,這世上最難降的妖魔是什么费什? 我笑而不...
    開封第一講書人閱讀 58,356評論 1 293
  • 正文 為了忘掉前任钾恢,我火速辦了婚禮,結(jié)果婚禮上鸳址,老公的妹妹穿的比我還像新娘瘩蚪。我一直安慰自己,他們只是感情好稿黍,可當(dāng)我...
    茶點故事閱讀 67,402評論 6 392
  • 文/花漫 我一把揭開白布疹瘦。 她就那樣靜靜地躺著,像睡著了一般巡球。 火紅的嫁衣襯著肌膚如雪言沐。 梳的紋絲不亂的頭發(fā)上邓嘹,一...
    開封第一講書人閱讀 51,292評論 1 301
  • 那天,我揣著相機與錄音险胰,去河邊找鬼汹押。 笑死,一個胖子當(dāng)著我的面吹牛鸯乃,可吹牛的內(nèi)容都是我干的鲸阻。 我是一名探鬼主播,決...
    沈念sama閱讀 40,135評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼缨睡,長吁一口氣:“原來是場噩夢啊……” “哼鸟悴!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起奖年,我...
    開封第一講書人閱讀 38,992評論 0 275
  • 序言:老撾萬榮一對情侶失蹤细诸,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后陋守,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體震贵,經(jīng)...
    沈念sama閱讀 45,429評論 1 314
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,636評論 3 334
  • 正文 我和宋清朗相戀三年水评,在試婚紗的時候發(fā)現(xiàn)自己被綠了猩系。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 39,785評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡中燥,死狀恐怖寇甸,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情疗涉,我是刑警寧澤拿霉,帶...
    沈念sama閱讀 35,492評論 5 345
  • 正文 年R本政府宣布,位于F島的核電站咱扣,受9級特大地震影響绽淘,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜闹伪,卻給世界環(huán)境...
    茶點故事閱讀 41,092評論 3 328
  • 文/蒙蒙 一沪铭、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧祭往,春花似錦伦意、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,723評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至已骇,卻和暖如春离钝,著一層夾襖步出監(jiān)牢的瞬間票编,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 32,858評論 1 269
  • 我被黑心中介騙來泰國打工卵渴, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留慧域,地道東北人。 一個月前我還...
    沈念sama閱讀 47,891評論 2 370
  • 正文 我出身青樓浪读,卻偏偏與公主長得像昔榴,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子碘橘,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 44,713評論 2 354

推薦閱讀更多精彩內(nèi)容

  • 1. DDoS簡介: 1.1 DdoS定義: DDOS是什么互订?分布式拒絕服務(wù)(DDoS:Distributed D...
    木木是個乖寶寶閱讀 4,084評論 2 9
  • 參考http://blog.csdn.net/huwei2003/article/details/45476743...
    魚仔_1625閱讀 2,289評論 0 5
  • 不論失敗也好,成功也罷痘拆,都要隨時記錄自己的行動過程仰禽。 及時記錄方便自己檢驗自己的步驟,重現(xiàn)自己的步驟纺蛆。 及時整理自...
    漁山樵水閱讀 404評論 0 0
  • 刺猬并不是他的本名吐葵,只因為我想在這篇文章中叫他刺猬。一.刺猬比我大一歲桥氏,也可能大兩歲吧温峭。總之字支,他是我小時候的偶像诚镰。...
    走馬20閱讀 403評論 0 0
  • 今天伯明翰下雪啦,對于我這個沒有見過雪的寶寶簡直就是發(fā)現(xiàn)了一個新的大陸(一看就是南方人系列O榭睢)。 ...
    JJL閱讀 204評論 2 2