DDOS攻击土味解读

2001年，王伟牺牲后，8万中国白客奋起反击，瘫痪美国白宫官网，插上中国国旗。二十年前的中国，网络安全行业远落于美国，在短短的几个月时间里，林勇组织8万中国红客，不惜用DDOS攻击，人海战术，攻下了美国白宫官网，在白宫页面上插上了中国鲜艳的五星红旗。

每每想到此处，眼泪就止不住的往下流，哭哭哭。。。。。。

下面我就带领大家来详细解读一下DDOS攻击。come on！baby！

1.DDOS拆分解读

(1).穷人攻击

(2).富人攻击

2.拆解TCP/IP协议

(1).客户端与服务器

(3).拆解

3.攻击方式汇总

1、SYN Flood攻击

2、UDP Flood攻击

3、ICMP Flood攻击

4、Connection Flood攻击

5、HTTP Get攻击

6、UDP DNS Query Flood攻击

4.攻击流程

5.应对策略

(1).防御措施

(3).防御原则

1.DDOS拆分解读

DDOS（DIstribute Denial Of Service），分布式拒绝服务。DDos攻击又俗称“群殴”，顾名思义，即通过占用网络服务的资源让其应接不暇，从而拒绝正常业务流量的一种网络攻击方式。然而，人们又将DDOS攻击分为了两类攻击：穷人攻击与富人攻击。

(1).穷人攻击

穷人攻击嘛，就是那些穷人（呜呜，好可怜~），穷且技术硬的人们，用木马、蠕虫、后门，等恶意程序感染大量设备形成大量僵尸网络，将这些主机作为肉鸡，来进行占用网络带宽攻击（DDOS攻击）。（好吧，这样太不地道了，大家还是努力做一个有钱银吧！）

(2).富人攻击

富人攻击呀，就是那些有钱人，俗话说，有钱能使鬼推磨（有道理得很呐）。其实富人攻击非常好理解，天空飘来一个字，那就是“买！”

2.拆解TCP/IP协议

现代互联网的流转是以TCP/IP协议为核心的通信系统，TCP/IP的参考模型是一个4层结构。下面带领大家一起来了解一下这四层模型。

(1).客户端与服务器

（由下图可得）客户端分为四层：应用层、网络层、互联网层、子网层（链路层和物理层）。

服务器分为四层：应用层、传输层、互联网层、子网层。

好，大家看懂了吗？

没有没有！

哦~好的，我也没看懂，这啥玩意啊？

(3).拆解

我们以传统的邮递系统与此做个对比

（如图）

应用层规定了一些数据内容的协议（例如：http协议。）。就好比写信时的规范，此致敬礼、日期等（从小语文就不好，规范从未整清楚过，哭哭。。。。）

传输层规定了数据的传输方式，期间又有两种协议，分为TCP协议（为了保证信息的可靠性，需经历3次握手再发送数据传输）、UDP协议（直接将数据投递出去），就好比写完信上粘了个鸡毛，或者盖了个加急戳。

互联网层，规定了通信双方地址的编码规则，采用ip协议。就好比装信的信封。

子网层，是信息传递物理载体，以太网卫星等等等等。就好比打包装车走。

在每一层的协议传输当中，每一层都有被攻破的可能，而DDOS攻击，就在此产生了。

3.攻击方式汇总

1、SYN Flood攻击

SYN Flood攻击是当前网络上最为常见的DDoS攻击，它利用了TCP协议实现上的一个缺陷。通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。

2、UDP Flood攻击

UDP Flood是日渐猖厥的流量型DDoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。由于UDP协议是一种无连接的服务，在UDP Flood攻击中，攻击者可发送大量伪造源IP地址的小UDP包。

3、ICMP Flood攻击

ICMP Flood攻击属于流量型的攻击方式，是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文。因此ICMP Flood出现的频度较低。

4、Connection Flood攻击

Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式，这种攻击的原理是利用真实的IP地址向服务器发起大量的连接。并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的链接。

5、HTTP Get攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用。这种攻击的特点是可以绕过普通的防火墙防护，可通过Proxy代理实施攻击，缺点是攻击静态页面的网站效果不佳，会暴露攻击者的lP地址。

6、UDP DNS Query Flood攻击

UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数星就会造成DNS服务器解析域名超时。

4.攻击流程

攻击者进行一次DDoS攻击大概需要经过了解攻击目标、攻占傀儡机、实际攻击三个主要步骤，下面依次说明每一步骤的具体过程：

1、了解攻击目标就是对所要攻击的目标有一个全面和准确的了解，以便对将来的攻击做到心中有数。主要关心的内容包括被攻击目标的主机数目、地址情况。目标主机的配置、性能、目标的带宽等等。对于DDoS攻击者来说，攻击互联网上的某个站点，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供服务。所有这些攻击目标的信息都关系到后面两个阶段的实施目标和策略，如果盲目的发动DDoS攻击就不能保证攻击目的的完成，还可能过早的暴露攻击者的身份，所以了解攻击目标是有经验的攻击者必经的步骤。

2、攻占傀儡主机就是控制尽可能多的机器，然后安装相应的攻击程序。在主控机上安装控制攻击的程序，而攻击机则安装DDoS攻击的发包程序。攻击者最感兴趣，也最有可能成为别人的傀儡主机的机器包括那些链路状态好、性能好同时安全管理水平差的主机。攻击者一般会利用已有的或者未公布的一些系统或者应用软件的漏洞．取得一定的控制权，起码可以安装攻击实施所需要的程序，更厉害的可能还会取得最高控制权、留下后门等等。在早期的DDoS攻击过程中，攻占傀儡主机这一步主要是攻击者自己手动完成的，亲自扫描网络，发现安全性比较差的主机，将其攻占并且安装攻击程序。但是后来随着DDoS攻击和蠕虫的融合，攻占傀儡机变成了一个自动化的过程，攻击者只要将蠕虫放入网络中，蠕虫就会在不断扩散中不停地攻占主机，这样所能联合的攻击机将变得非常巨大，DDoS攻击的威力更大。

3、DDoS攻击的最后一个阶段就是实际的攻击过程，攻击者通过主控机向攻击机发出攻击指令，或者按照原先设定好的攻击时间和目标，攻击机不停的向目标或者反射服务器发送大量的攻击包，来吞没被攻击者，达到拒绝服务的最终日的。和前两个过程相比，实际攻击过程倒是最简单的一个阶段，一些有经验的攻击者可能还会在攻击的同时通过各种手段检查攻击效果，甚至在攻击过程中动态调整攻击策略，尽可能清除在主控机和攻击机上留下的蛛丝马迹。

5.应对策略

(1).防御措施

不但是对DDoS，而且是对于所有网络的攻击，都应该是采取尽可能周密的防御措施，同时加强对系统的检测，建立迅速有效的应对策略。应该采取的防御措施有：

(1)全面综合地设计网络的安全体系，注意所使用的安全产品和网络设备。

(2)提高网络管理人员的素质，关注安全信息，遵从有关安全措施，及时地升级系统，加强系统抗击攻击的能力。

(3)在系统中加装防火墙系统，利用防火墙系统对所有出入的数据包进行过滤，检查边界安全规则，确保输出的包受到正确限制。

(4)优化路由及网络结构。对路由器进行合理设置，降低攻击的可能性。

(5)优化对外提供服务的主机，对所有在网上提供公开服务的主机都加以限制。

(6)安装入侵检测工具(如NIPC、NGREP)，经常扫描检查系统，解决系统的漏洞，对系统文件和应用程序进行加密，并定期检查这些文件的变化。

(3).防御原则

在响应方面，虽然还没有很好的对付攻击行为的方法，但仍然可以采取措施使攻击的影响降至最小。对于提供信息服务的主机系统，应对的根本原则是：

尽可能地保持服务、迅速恢复服务。由于分布式攻击入侵网络上的大量机器和网络设备，所以要对付这种攻击归根到底还是要解决网络的整体安全问题。真正解决安全问题一定要多个部门的配合，从边缘设备到骨干网络都要认真做好防范攻击的准备，一旦发现攻击就要及时地掐断最近攻击来源的那个路径，限制攻击力度的无限增强。网络用户、管理者以及ISP之间应经常交流，共同制订计划，提高整个网络的安全性。