DOSDDOS原理及攻击防御方法浅谈

DoS的英文全称是Denial of Service，也就是“拒绝服务”的意思。广义的DOS 攻击是指：“任何导致被攻击的服务器不能正常提供服务的攻击方式”。DoS

攻击和其他类型的攻击不大一样攻击者并不是去寻找进入内部网络的入口

而是去阻止合法的用户访问资源或路由器。

DOS攻击的基本原理是设法使被攻击服务器充斥大量要求回复的信息，消耗网络带宽或系统资源导致网络或系统不胜负荷以至于瘫痪而宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时攻击的效果就更明显。

随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这些变化都使得目标计算机有足够的资源来应付这些DoS攻击报文，这使得DoS攻击的困难程度加大，效果减小。

在这种情况下，DDoS攻击方法就应运而生，DDoS是英文Distributed Denial of Service的缩写，即“分布式拒绝服务”，它是一种基于DoS的特殊形式的拒绝服务攻击。前面已经提到了，当今的计算机和网络速度都普遍比较快，尤其是大型服务器和数据中心，那数据处理能力和网络速度简直令人叹为观止，因此传统的基于一对一的DoS攻击效果已不再那么明显。

于是，我们伟大的IT高手们秉承“办法总比困难多”的励志理念，汲取街头打架斗殴场景中的精髓，既然一个人打不过，那就来群殴。

DDoS攻击便是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令，即使性能再高的服务器也无法应付，因此产生的破坏性极大。主要目标是较大的站点，像商业公司、搜索引擎和政府部门的站点。

DDoS攻击的4个组成部分：

1).攻击者

攻击者所用的主机，也称为攻击主控台；

2).主控端

攻击者侵入并控制的一些主机，分别控制大量代理攻击主机；

3).代理攻击端

攻击者侵入并控制的一批主机，其上面运行攻击程序，接收和运行主控端发来的命令，代理攻击端俗称“肉鸡”；

4).受害者

被攻击的目标主机。

DDoS攻击示意图如下：

上图为DDoS直接攻击方式，另外还有一种威力更大、更隐蔽的DDoS间接攻击方式，其原理是攻击者伪造源地址为受害者地址的SYN连接请求包发送给大量服务器，随后，服务器群会向源IP（也就是受害者）发出大量的SYN+ACK 或RST包来进行响应，大量服务器的响应数据包最终在受害者处汇集为洪水，使受害者网络瘫痪，甚至死机，此攻击方式隐蔽性非常强，受害方很难找到攻击来源。其攻击示意图如下所示。

♦DDoS攻击步骤

1).搜集攻击目标信息。包括目标主机的地址、配置、性能、带宽等。并根据目标主机的相关参数设计合理的攻击强度，做到知己知彼，百战不殆；

2).占领傀儡机。攻击者通过工具扫描互联网上那些有漏洞的机器，随后就是尝试攻击。攻击成功后，就可以占领和控制被攻击的主机，即“肉鸡”。攻击者可以利用FTP/TFTP等协议把DDoS攻击用的程序上传到“肉鸡”中。“肉鸡”包括主控端和代理端主机，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。

不过，攻击者如果想省事的话，可以直接从网络上购买“肉鸡”，一般是几角钱一只，量多优惠。这些“肉鸡”就是被黑客成功控制的计算机，并用于出售目的。

3). 实施攻击。攻击者登录到作为控制台的“肉鸡”中，向所有做为代理端主机的“肉鸡”发出命令，这时候埋伏在“肉鸡”中的DDoS攻击程序就会响应

控制台的命令，同时向受害主机以高速度发送大量的数据包，导致受害主机死机或是无法响应正常的请求。

在《DOS/DDOS原理及攻击防御方法浅谈(一)》中我们已经了解了DOS/DDOS 攻击的原理及步骤，下面我们接着介绍DOS/DDOS的常用攻击方法及防御手段。

Dos攻击种类有很多，主要有：IP Spoofing攻击、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、SYN Flood攻击、ICMP Flood攻击、UDP Flood 攻击、ICMP-Redirect攻击及ICMP-Unreachable攻击等。

1). IP Spoofing攻击

IP Spoofing也叫IP欺骗，其原理是攻击者机器A利用软件构造一个虚假不存在的IP地址，并以此不存在地址为源IP地址向受害者机器B发送SYN报文，请求建立TCP/IP连接。目标机器B接收到这个SYN报文后，会将收到的SYN 报文中的源IP地址提取出来，并将此IP作为目的IP，回复一个ACK/SYN确认报文给B，并等待接收来自B的确认报文。由于这个目的IP是攻击者A伪造的，实际网络中根本不存在，所以这个ACK/SYN确认报文也就无法到达，B也就不可能接收到它的确认报文。

但是，根据TCP/IP协议规范，受害者B必须一直等待接收A回复的确认报文，直到受害者B内部的定时器超时才放弃等待。这就是一次IP Spoofing攻击，假如攻击者A使用软件以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文，那么受害者机器B上就会产生大量的TCP/IP半连接，并且都要等待这些半连接超时(在等待的时候要专心，不能干别的事情的，呵呵)，从而使系统资源耗尽，不能及时响应正常的服务请求。

如果攻击者A控制几百几千台乃至几万台机器同时使用软件分别以每秒几百次几千次乃至几万次的速度向同一个受害者B发送虚假SYN报文，这样，受害者B所建立的TCP/IP半连接数量会呈指数上升，即使B的处理能力再强，网络带宽再宽，系统也会在瞬间崩溃，这就是DDoS攻击。

为了大家更好的理解IP Spoofing攻击方法，这里再补充介绍下TCP链接的建立过程。大家都知道，目前网络中的绝大部分上层应用程序都是基于TCP协议的。