基于DoS/DDoS的攻击与防范

超立方

一、需求分析
随着计算机网络的发展，网络的开放性、共享性、互连程度随之扩大。网络安全问题显得越来越重要。谈到网络安全问题，就没法不谈黑客（Hacker）。黑客是指对计算机某一领域有着深入的理解，并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人，都有可能成为黑客。目前，“黑客”已成为一个特殊的社会群体，在欧美等国有不少合法的黑客组织，黑客们经常召开黑客技术交流会，另一方面，黑客组织在因特网上利用自己的网站上介绍黑客攻击手段，免费提供各种黑客工具软件、出版网上黑客杂志，这使得普通人也探测容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程序的攻击，进一步恶化了网络安全环境。
现在比较常见的网络攻击的主要方式有:ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、窃听报文、应用层攻击等。这里主要讲DoS与DDoS拒绝服务攻击。
    目前，拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法，无数网络用户都受到这种攻击的侵害，造成了巨大的经济损失。因此，了解DoS 与DDoS攻击原理及基本的防范方法，对所有网络用户特别是网络管理人员有着重要的意义。
二、攻击原理及方式
2.1 DoS攻击原理
拒绝服务（Denial of Service，简称DoS）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。
2.2 DoS攻击方式
     DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、UDP攻击等。
2.2.1 SYN Flood攻击
     SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。
    如果系统资源被大量此类未完成的连接占用，系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。
2.2.2 Land 攻击
     Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址，这样服务器接收到该数据包后会向自己发送一个SYN—ACK 回应包，SYN—ACK又引起一个发送给自己的ACK包，并创建一个空连接。每个这样的空连接到将暂存在服务器中，当队列足够长时，正常的连接请求将被丢弃，造成服务器拒绝服务的现象。
2.2.3 UDP攻击
     UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务，只要被攻击者开放有一个UDP服务端口，即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。
    ①UDP Fraggle攻击的原理与Smurf攻击相似，也是一种“放大”式的攻击，不同的是它使用UDP回应代替了ICMP回应。
    ②DNS Query Flood攻击是一种针对DNS服务器的攻击行为。攻击者向DNS的UDP 53端口发送大量域名查询请求，占用大量系统资源，使服务器无法提供正常的查询请求。 从以上 4种DoS攻击手段可以看出，DoS攻击的基本过程包括以下几个阶段：①攻击者向被攻击者发送众多的带有虚假地址的请求；②被攻击者发送响应信息后等待回传信息；③由于得不到回传信息，使系统待处理队列不断加长，直到资源耗尽，最终达到被攻击者出现拒绝服务的现象。
2.3 DDoS攻击原理
分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。
DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时，其攻击的效果较为明显。随着计算机及网络技术的发展，计算机的处理能力迅速增长，网络带宽也从百兆发展到了千兆、万兆，DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发起攻击，攻击效果极为明显。DDoS利用攻击者已经入侵并控制的主机,对某一单机发起攻击,而被攻击者控制着的机器有可能是数百万台机器。在悬殊的带宽力量对比下,被攻击的主机很快失去反映,无法对外提供服务,从而达到了攻击的目的。实践证明,这种攻击方式是非常有效的,而且非常难以抵挡。
DDoS主要采用了比较特殊的3层客户机/服务器结构，即攻击端、主控端和代理端，这3者在攻击中各自扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构，使DDoS具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。图一为DDoS的攻击原理。
DDoS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。

2.4 DDoS攻击方式
DDoS攻击不断在Internet出现，并在应用的过程中不断的得到完善，已有一系列比较成熟的软件产品，如Trinoo、Smurf、TFNK等，他们基本核心及攻击思路是很相象的。
2.4.1 Trinoo攻击
Trinoo是基于UDP flood的攻击软件，它向被攻击目标主机随机端口发送全零的4字节UDP包，被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降，直至不能提供正常服务甚至崩溃。
Trinoo 是复杂的 DDoS 攻击程序，它使用“master”程序对实际实施攻击的 “代理”程序实现自动控制。攻击者连接到安装了master程序的计算机，启动master程序，然后根据一个IP地址的列表，由master程序负责启动所有的代理程序。接着，代理程序用UDP 信息包冲击网络，从而攻击目标。在攻击之前，侵入者为了安装软件，已经控制了装有master程序的计算机和所有装有代理程序的计算机。
2.4.2 Smurf攻击
Smurf是一种简单但有效的 DDoS 攻击技术，它利用了ICMP (Internet控制信息协议)。ICMP在Internet上用于错误处理和传递控制信息。它的功能之一是与主机联系，通过发送一个“回音请求”（echo request）信息包看看主机是否“活着”。最普通的ping程序就使用了这个功能。Smurf是用一个偷来的帐号安装到一个计算机上的，然后用一个伪造的源地址连续ping一个或多个计算机网络，这就导致所有计算机所响应的那个计算机并不是实际发送这个信息包的那个计算机。这个伪造的源地址，实际上就是攻击的目标，它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。
2.4.3 TFNK攻击

Ayer

DDOS攻击！
碰不到的，碰到了也没办法，先拔网线，如果解决不了直接报警。
不用安装硬件防火墙了，也没多大用

缩头者

硬防还是有用的

有兴趣可以看下这篇翻译的文档https://forum.eviloctal.com/thread-6499-1-2.html

春心大动者

学习了！！！！

帅小伙

我要学DOS~~

zhg19880417

跟楼上一样。

wuxuelin123

学习了