DDOS(Distributed Denial of Service)

分布式拒絕服務(wù)攻擊
指借助于客戶/服務(wù)器技術(shù)硅瞧，將多個計算機聯(lián)合起來作為攻擊平臺涌穆，
對一個或多個目標(biāo)發(fā)動DDoS攻擊粪狼，從而成倍地提高拒絕服務(wù)攻擊的威力。

攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上芜果，
在一個設(shè)定的時間，主控程序?qū)⑴c大量代理程序通訊毒涧，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計算機上苏携，
代理程序收到指令時就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)箭跳，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行

DDoS就是利用更多的傀儡機(肉雞)來發(fā)起進攻

攻擊方式
DDoS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源晨另，以達到癱瘓網(wǎng)絡(luò)的目的。 這種攻擊方式可分為以下幾種：
1.  通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊谱姓；
2.  通過向服務(wù)器提交大量請求，使服務(wù)器超負荷刨晴；
3.  阻斷某一用戶訪問服務(wù)器屉来；
4.  阻斷某服務(wù)與特定系統(tǒng)或個人的通訊路翻。


IP Spoofing
IP欺騙攻擊是一種黑客通過向服務(wù)端發(fā)送虛假的包以欺騙服務(wù)器的做法。
具體是將包中的源IP地址設(shè)置為不存在或不合法的值茄靠。
服務(wù)器一旦接受到該包便會返回接受請求包茂契，但實際上這個包永遠返回不到來源處的計算機。
這種做法使服務(wù)器必需開啟自己的監(jiān)聽端口不斷等待慨绳，也就浪費了系統(tǒng)各方面的資源掉冶。


LAND attack
這種攻擊方式與SYN floods類似，不過在LAND attack攻擊包中的源地址和目標(biāo)地址都是攻擊對象的IP脐雪。
這種攻擊會導(dǎo)致被攻擊的機器死循環(huán)厌小，最終耗盡資源而死機。

ICMP floods
ICMP floods是通過向未良好設(shè)置的路由器發(fā)送廣播信息占用系統(tǒng)資源的做法战秋。

Application
與前面敘說的攻擊方式不同璧亚，Application level floods主要是針對應(yīng)用軟件層的，也就是高于OSI的脂信。
它同樣是以大量消耗系統(tǒng)資源為目的癣蟋，通過向IIS這樣的網(wǎng)絡(luò)服務(wù)程序提出無節(jié)制的資源申請來迫害正常的網(wǎng)絡(luò)服務(wù)。

攻擊現(xiàn)象
1.  被攻擊主機上有大量等待的TCP連接狰闪；
2.  網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包疯搅；
3.  源地址為假 制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞埋泵，使受害主機無法正常和外界通訊幔欧；
4.  利用受害主機提供的傳輸協(xié)議上的缺陷反復(fù)高速的發(fā)出特定的服務(wù)請求，使主機無法處理所有正常請求秋泄；
5.  嚴(yán)重時會造成系統(tǒng)死機琐馆。
6.  突然產(chǎn)生巨大的攻擊流量。借助流量監(jiān)控設(shè)備恒序，可以及時發(fā)現(xiàn)異常流量的突現(xiàn)瘦麸。
7.  會產(chǎn)生大量的SYN數(shù)據(jù)包，借助wireshark抓包分析歧胁，可以迅速發(fā)現(xiàn)這些攻擊特征滋饲。

按照TCP/IP協(xié)議的層次可將DDOS攻擊分為
基于ARP的攻擊、基于ICMP的攻擊喊巍、基于IP的攻擊屠缭、基于UDP的攻擊、基于TCP的攻擊和基于應(yīng)用層的攻擊崭参。

基于ARP
ARP是無連接的協(xié)議呵曹，當(dāng)收到攻擊者發(fā)送來的ARP應(yīng)答時。它將接收ARP應(yīng)答包中所提供的信息。更新ARP緩存奄喂。
因此铐殃，含有錯誤源地址信息的ARP請和含有錯誤目標(biāo)地址信息的ARP應(yīng)答
均會使上層應(yīng)用忙于處理這種異常而無法響應(yīng)外來請求，
使得目標(biāo)主機喪失網(wǎng)絡(luò)通信能力跨新。產(chǎn)生拒絕服務(wù)富腊，如ARP重定向攻擊。

基于ICMP
攻擊者向一個子網(wǎng)的廣播地址發(fā)送多個ICMP Echo請求數(shù)據(jù)包域帐。
并將源地址偽裝成想要攻擊的目標(biāo)主機的地址赘被。
這樣，該子網(wǎng)上的所有主機均對此ICMP Echo請求包作出答復(fù)肖揣，
向被攻擊的目標(biāo)主機發(fā)送數(shù)據(jù)包民假，使該主機受到攻擊，導(dǎo)致網(wǎng)絡(luò)阻塞许饿。

基于IP
TCP/IP中的IP數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時阳欲，數(shù)據(jù)包可以分成更小的片段。到達目的地后再進行合并重裝陋率。
在實現(xiàn)分段重新組裝的進程中存在漏洞球化，缺乏必要的檢查。
利用IP報文分片后重組的重疊現(xiàn)象攻擊服務(wù)器瓦糟，進而引起服務(wù)器內(nèi)核崩潰筒愚。
如Teardrop是基于IP的攻擊。

基于應(yīng)用層
應(yīng)用層包括SMTP菩浙，HTTP巢掺，DNS等各種應(yīng)用協(xié)議。
其中SMTP定義了如何在兩個主機間傳輸郵件的過程劲蜻，
基于標(biāo)準(zhǔn)SMTP的郵件服務(wù)器陆淀，在客戶端請求發(fā)送郵件時，是不對其身份進行驗證的先嬉。
另外轧苫，許多郵件服務(wù)器都允許郵件中繼。攻擊者利用郵件服務(wù)器持續(xù)不斷地向攻擊目標(biāo)發(fā)送垃圾郵件疫蔓，大量侵占服務(wù)器資源含懊。

DDOS 的表現(xiàn)形式主要有兩種
流量攻擊
主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞衅胀， 合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達主機岔乔； 
資源耗盡攻擊
主要是針對服務(wù)器主機的攻擊，即通過大量攻擊包導(dǎo)致主機的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完滚躯，造成的無法提供網(wǎng)絡(luò)服務(wù)雏门。

判斷網(wǎng)站是否遭受了流量攻擊
通過 Ping 命令來測試嘿歌，若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重(假定平時是正常的)，則可能遭受了流量攻擊
沒有被路由器和防火墻等設(shè)備屏蔽



資源耗盡攻擊
假如平時 Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的剿配，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了搅幅，
而 Ping還可以Ping通阅束，則很可能遭受了資源耗盡攻擊 
此時若在服務(wù)器上用netstat -an命令觀察到有大量的SYN_RECEIVED呼胚、TIME_W AIT、FIN_W AIT_1 等狀態(tài)存在息裸，
而EST BLISHED 很少蝇更，則可判定肯定是遭受了資源耗盡攻擊。

還有一種現(xiàn)象是呼盆，Ping 自己的網(wǎng)站主機 Ping 不通或者是丟包嚴(yán)重年扩，
而 Ping與自己的主機在同一交換機上的服務(wù)器則正常，
原因是網(wǎng)站主機遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達到100%無法回應(yīng)Ping命令访圃，
其實帶寬還是有的厨幻，否則就Ping不通接在同一交換機上的主機了。

centos7 最小化安裝之后腿时，默認是沒有 ifconfig,netstat命令的况脆；
yum -y install net-tools 即可；

攻擊手段

當(dāng)前主要有三種流行的 DDOS:

1批糟、SYN/ACK Flood 攻擊：
經(jīng)典最有效的 DDOS 方法格了，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)， 
主要是通過向受害主機發(fā)送大量偽造源 IP 和源端口的 SYN 或 ACK 包徽鼎，
導(dǎo)致主機的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)盛末， 由于源都是偽造的故追蹤起來比較困難， 
缺點是實施起來有一定難度否淤， 需要高帶寬的僵尸主機支持悄但。 
少量的這種攻擊會導(dǎo)致主機服務(wù)器無法訪問， 但卻可以 Ping 的通石抡， 
在服務(wù)器上用 Netstat -na 命令會觀察到存在大量的 SYN_RECEIVED 狀態(tài)檐嚣，
大量的這種攻擊會導(dǎo)致 Ping 失敗、TCP/IP 棧失效汁雷，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象净嘀，即不響應(yīng)鍵盤和鼠標(biāo)。
普通防火墻大多無法抵御此種攻擊侠讯。


2挖藏、TCP 全連接攻擊：
為了繞過常規(guī)防火墻的檢查而設(shè)計的，一般情況下厢漩，
常規(guī)防火墻大多具備過濾 T earDrop膜眠、Land 等 DOS 攻擊的能力，但對于正常的 TCP 連接是放過的，
殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS宵膨、Apache 等 Web 服務(wù)器）能接受的 TCP 連接數(shù)是有限的架谎，
一旦有大量的 TCP 連接，即便是正常的辟躏，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問谷扣，
TCP 全連接攻擊就是通過許多僵尸主機不斷地與受害服務(wù)器建立大量的 TCP 連接，
直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨捎琐， 從而造成拒絕服務(wù)会涎，
這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，
缺點是需要找很多僵尸主機瑞凑，并且由于僵尸主機的 IP 是暴露的末秃，因此容易被追蹤。


3籽御、刷 Script 腳本攻擊
針對存在 ASP练慕、JSP、PHP技掏、CGI等腳本程序铃将，并調(diào)用 MSSQLServer、MySQLServer零截、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計麸塞，
特征是和服務(wù)器建立正常的 TCP 連接， 并不斷的向腳本程序提交查詢涧衙、 列表等大量耗費數(shù)據(jù)庫資源的調(diào)用哪工， 
一般來說， 提交一個 GET 或 POST 指令對客戶端的耗費和帶寬的占用是幾乎可以忽略的弧哎，
而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄雁比， 這種處理過程對資源的耗費是很大的， 
常見的數(shù)據(jù)庫服務(wù)器很少能支持數(shù)百個查詢指令同時執(zhí)行撤嫩，而這對于客戶端來說卻是輕而易舉的偎捎，
因此攻擊者只需通過 Proxy 代理向主機服務(wù)器大量遞交查詢指令， 只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)序攘，
常見的現(xiàn)象就是網(wǎng)站慢如蝸牛茴她、ASP 程序失效、PHP 連接數(shù)據(jù)庫失敗程奠、數(shù)據(jù)庫主程序占用 CPU 偏高丈牢。
這種攻擊的特點是可以完全繞過普通的防火墻防護， 輕松找一些 Proxy 代理就可實施攻擊瞄沙， 
缺點是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣己沛，并且有些 Proxy 會暴露攻擊者的 IP 地址慌核。

怎么抵御 DDOS
完全杜絕 DDOS是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的 DDOS 攻擊是可以做到的申尼，
基于攻擊和防御都有成本開銷的緣故垮卓，若通過適當(dāng)?shù)霓k法增強了抵御 DDOS 的能力，也就意味著加大了攻擊者的攻擊成本师幕，
那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄粟按，也就相當(dāng)于成功的抵御了DDOS 攻擊。

防御基礎(chǔ)


對DoS和DDoS的防范主要從下面幾個方面考慮：
1.  盡可能對系統(tǒng)加載最新補丁们衙，并采取有效的合規(guī)性配置钾怔，降低漏洞利用風(fēng)險；
2.  采取合適的安全域劃分蒙挑，配置防火墻、入侵檢測和防范系統(tǒng)愚臀，減緩攻擊忆蚀。
3.  采用分布式組網(wǎng)、負載均衡姑裂、提升系統(tǒng)容量等可靠性措施馋袜，增強總體服務(wù)能力。



參考措施

1舶斧、采用高性能的網(wǎng)絡(luò)設(shè)備引
保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸欣鳖，因此選擇路由器、交換機茴厉、硬件防火墻等設(shè)備的時候要盡量選用知名度高泽台、口碑好的產(chǎn)品。
假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議矾缓，
當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS 攻擊是非常有效的怀酷。

2、盡量避免 NAT 的使用
路由器或硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的使用嗜闻， 因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力蜕依，
因為 NAT 需要對地址來回轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算琉雳，
因此浪費了很多 CPU 的時間样眠，但有些時候必須使用 NAT，那就沒有好辦法了翠肘。

3檐束、充足的網(wǎng)絡(luò)帶寬保證
網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有 10M 帶寬的話锯茄，
無論采取什么措施都很難對抗當(dāng)今的 SYNFlood 攻擊厢塘，至少要選擇 100M 的共享帶寬茶没，
最好的當(dāng)然是掛在1000M 的主干上了。
注意的是晚碾，主機上的網(wǎng)卡是 1000M 的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的抓半，若把它接在 100M 的交換機上，
它的實際帶寬不會超過 100M格嘁，再就是接在 100M的帶寬上也不等于就有了百兆的帶寬笛求，
因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚糕簿。

4探入、升級主機服務(wù)器硬件
在有網(wǎng)絡(luò)帶寬保證的前提下，請盡量提升硬件配置懂诗，要有效對抗每秒 10萬個 SYN 攻擊包蜂嗽，
服務(wù)器的配置至少應(yīng)該為：P4 2.4G/DDR512M/SCSI-HD，起關(guān)鍵作用的主要是 CPU 和內(nèi)存殃恒，
若有志強雙 CPU 的話就用它吧植旧，內(nèi)存一定要選擇 DDR 的高速內(nèi)存，硬盤要盡量選擇SCSI 的离唐，
別只貪 IDE 價格不貴量還足的便宜病附，否則會付出高昂的性能代價，
再就是網(wǎng)卡一定要選用 3COM 或 Intel 等名牌的亥鬓，若是 Realtek 的還是用在自己的 PC 上吧完沪。

5、把網(wǎng)站做成靜態(tài)頁面
提高抗攻擊能力嵌戈，給黑客入侵帶來不少麻煩覆积，至少到為止關(guān)于 HTML 的溢出還沒出現(xiàn)，
新浪咕别、搜狐技健、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用惰拱，那就把它弄到另外一臺單獨主機去雌贱，
免的遭受攻擊時連累主服務(wù)器，當(dāng)然偿短，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的欣孤， 
此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問昔逗，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為降传。

6.硬件防火墻
將服務(wù)器放到具有DDoS硬件防火墻的機房。
專業(yè)級防火墻通常具有對異常流量的清洗過濾功能勾怒，
可對抗SYN/ACK攻擊婆排、TCP全連接攻擊声旺、刷腳本攻擊等等流量型DDoS攻擊

7.單個主機
（1）及時修復(fù)系統(tǒng)漏洞，升級安全補丁段只。
（2）關(guān)閉不必要的服務(wù)和端口腮猖，減少不必要的系統(tǒng)加載項及自啟動項，盡可能減少服務(wù)器中執(zhí)行較少的進程赞枕，更改工作模式
（3）iptables
（4）嚴(yán)格控制賬戶權(quán)限澈缺，禁止root登錄，密碼登錄炕婶，修改常用服務(wù)的默認端口