对拒绝服务攻击的认识

作业一：对拒绝服务攻击的了解

网络攻击的形式多种多样，比如有口令窃取，欺骗攻击，缺陷和后门攻击，认证失效，协议缺陷，拒绝服务攻击，指数攻击，信息泄露等。通过查看资料，在这里，我主要谈一谈我对拒绝服务的了解，与认识。其重点谈一下分布式拒绝服务攻击！

拒绝服务攻击从字面上顾名思义即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。

危害就主要有，过度使用服务，使软件、硬件过度运行，是网络链接超出其容量。还有就是会造成关机或系统瘫痪，或者降低服务质量。单一的DoS 攻击一般是采用一对一方式的，当攻击目标CPU 速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS 攻击的困难程度加大了-目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段（DDoS ）就应运而生了。

而分布式拒绝服务(DDoS ）的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，分布式拒绝服务攻击又被称之为“洪水式攻击”。其运行原理示意图如下：3

控制42

分布式拒绝服务攻击体系结构

黑客傀儡机

傀儡机

傀儡机

-----受害者傀儡机

如图所示，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。

DDoS的体系结构，以及具体描述是从网上了解到的。在这里我就有一个疑问。为什么不直接攻击傀儡机而是要先控制再攻击？然而通过找资料得知，原来黑客是为了保护自己。如果利用控制的傀儡机的话，先要找到黑客的概率就大大减少了。

那么黑客是如何组织一次DDoS的呢？

一，要搜集了解目标的情况。黑客一般会关心1，被攻击者的主机数目、地址情况。这关系到有多少傀儡机才能达到想要的效果的问题。2，目标主机的配置、性能。3，目标的带宽。二，就是要占领傀儡机。黑客一般最感兴趣的是链路状态好的主机，性能好的主机，安全管理水平差的主机。黑客做的工作就是扫描，随机或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，随后就是尝试入侵。当黑客占领了一台傀儡机后，会吧DDoS攻击用的程序下载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害者目标发送恶意攻击包的。三，实际攻击。向所有的攻击机发出命令：预备，瞄准，开火。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或者是无法响应正常的请求。比较精明的攻击者一边攻击，一边还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。这就是大体攻击的原理。

下面我们来了解一下拒绝服务的发展趋势。从以下几个方面来了解。

一，攻击程序的安装。如今，攻击方法渐趋复杂，渐趋自动化，目标也有目的地或随意地选取基于windows的系统或者路由器。从一个漏洞的首次发现到

该漏洞被攻击者成功地利用之间的时间间隔越来越短。（1）自动化程度越来越高。随着时间的推移，攻击者在DoS攻击技术的多个方面都提高了自动化的程度。（2）基于windows的系统越来越到的成为目标（3）路由器和其他网络基础设施也逐渐成为受攻击的目标（4）漏洞的首次发现到该漏洞被攻击者成功地利用之间的时间间隔越来越短。

二，攻击程序的利用。早期的DDoS网络工具使得其DDoS网络比较容易识别并予以破坏。因此攻击机器会保存列有一个或多个控制台的列表，这个列表通常是通过在攻击程序中固化的IP地址表，然后器向这些地址发送数据包注册到控制台。因此，一旦发现一个攻击机器就可以找到控制台。同样，控制台也要维持一个攻击机器的列表以便发送攻击命令，因此，发现一个控制台就可以识别并破坏整个DDoS网络。

三，攻击的影响。（1）波及范围更大（2）一经安装即行攻击

那么怎样尽量避免这些攻击呢？从两方面来考虑。

一，主机上的设置。包括关闭不必要的服务；限制同时打开的SYN半链接数目；缩短SNY半链接的time out时间；及时更新系统补丁等。

二，网络上的设置。可以从防火墙与路由器上考虑。这两个设别是到外界的接口设别。防火墙要注意的是，禁止对主机的非法开放服务的访问；限制同时打开的SYN最大链接数；限制特定IP地址的访问；启用防火墙的防DDoS的属性等。而路由器则要设置SYN数据包流量的速度；采用访问控制列表过滤；及时升级过低的版本等。

下面是通过联系使用DoS/DDoS攻击工具对目标主机进行攻击；理解

DoS/DDoS攻击的原理和实施过程。

以UDP Flood为例，具体内容如下:

UDP Flood是一种采用UDP Flood攻击方式的DoS软件，它可以向特定的IP地址和端口发送UDP包。在ip/hostname和Port窗口中制定目标主机的IP地址和端口号；在Max duration设定最长攻击时间，在Speed窗口中设置UDP包发送的速度，在data中定义数据包中的内容；单击Go就可以对目标主机发起攻击。如下图所示：