DDos（网络攻击）的攻击原理与防御方法

乂毀滅之翼乂

DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務，而DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務,而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務的意思。

　　不過這3中攻擊方法最厲害的還是DDoS，那個DRDoS攻擊雖然是新近出的一種攻擊方法，但它只是DDoS攻擊的變形，它的唯一不同就是不用佔領大量的『肉雞』。這三種方法都是利用TCP三次握手的漏洞進行攻擊的，所以對它們的防御辦法都是差不多的。

　　DoS攻擊是最早出現的，它的攻擊方法說白了就是單挑，是比誰的機器性能好、速度快。但是現在的科技飛速發展，一般的網站主機都有十幾臺主機，而且各個主機的處理能力、內存大小和網絡速度都有飛速的發展，有的網絡帶寬甚至超過了千兆級別。這樣我們的一對一單挑式攻擊就沒有什麼作用了，搞不好自己的機子就會死掉。舉個這樣的攻擊例子，假如你的機器每秒能夠發送10個攻擊用的數據包，而被你攻擊的機器(性能、網絡帶寬都是頂尖的)每秒能夠接受並處理100攻擊數據包，那樣的話，你的攻擊就什麼用處都沒有了，而且非常有死機的可能。要知道，你若是發送這種1Vs1的攻擊，你的機器的CPU佔用率是90%以上的，你的機器要是配置不夠高的話，那你就死定了。

不過，科技在發展，黑客的技術也在發展。正所謂道高一尺，魔高一仗。經過無數次當機，黑客們終於又找到一種新的DoS攻擊方法，這就是DDoS攻擊。它的原理說白了就是群毆，用好多的機器對目標機器一起發動DoS攻擊，但這不是很多黑客一起參與的，這種攻擊只是由一名黑客來操作的。這名黑客不是擁有很多機器，他是通過他的機器在網絡上佔領很多的『肉雞』，並且控制這些『肉雞』來發動DDoS攻擊，要不然怎麼叫做分布式呢。還是剛纔的那個例子，你的機器每秒能發送10攻擊數據包，而被攻擊的機器每秒能夠接受100的數據包，這樣你的攻擊肯定不會起作用，而你再用10臺或更多的機器來對被攻擊目標的機器進行攻擊的話，嘿嘿!結果我就不說了。

　DRDoS分布反射式拒絕服務攻擊這是DDoS攻擊的變形，它與DDoS的不同之處就是DrDoS不需要在攻擊之前佔領大量的『肉雞』。它的攻擊原理和Smurf攻擊原理相近，不過DRDoS是可以在廣域網上進行的，而Smurf攻擊是在局域網進行的。它的作用原理是基於廣播地址與回應請求的。一臺計算機向另一臺計算機發送一些特殊的數據包如ping請求時，會接到它的回應;如果向本網絡的廣播地址發送請求包，實際上會到達網絡上所有的計算機，這時就會得到所有計算機的回應。這些回應是需要被接收的計算機處理的，每處理一個就要佔用一份系統資源，如果同時接到網絡上所有計算機的回應，接收方的系統是有可能吃不消的，就象遭到了DDoS攻擊一樣。不過是沒有人笨到自己攻擊自己，不過這種方法被黑客加以改進就具有很大的威力了。黑客向廣播地址發送請求包，所有的計算機得到請求後，卻不會把回應發到黑客那裡，而是發到被攻擊主機。這是因為黑客冒充了被攻擊主機。黑客發送請求包所用的軟件是可以偽造源地址的，接到偽造數據包的主機會根據源地址把回應發出去，這當然就是被攻擊主機的地址。黑客同時還會把發送請求包的時間間隔減小，這樣在短時間能發出大量的請求包，使被攻擊主機接到從被欺騙計算機那裡傳來的洪水般的回應，就像遭到了DDoS攻擊導致系統崩潰。駭客借助了網絡中所有計算機來攻擊受害者，而不需要事先去佔領這些被欺騙的主機，這就是Smurf攻擊。而DRDoS攻擊正是這個原理，黑客同樣利用特殊的發包工具，首先把偽造了源地址的SYN連接請求包發送到那些被欺騙的計算機上，根據TCP三次握手的規則，這些計算機會向源IP發出SYN+ACK或RST包來響應這個請求。同Smurf攻擊一樣，黑客所發送的請求包的源IP地址是被攻擊主機的地址，這樣受欺騙的主機就都會把回應發到被攻擊主機處，造成被攻擊主機忙於處理這些回應而癱瘓。

解釋：

　　SYN：(Synchronize sequence numbers)用來建立連接，在連接請求中，SYN=1，ACK=0，連接響應時，SYN=1，ACK=1。即，SYN和ACK來區分Connection Request和Connection Accepted。

　　RST：(Reset the connection)用於復位因某種原因引起出現的錯誤連接，也用來拒絕非法數據和請求。如果接收到RST位時候，通常發生了某些錯誤。

　　ACK：(Acknowledgment field significant)置1時表示確認號(Acknowledgment Number)為合法，為0的時候表示數據段不包含確認信息，確認號被忽略。

TCP三次握手：

假設我們要准備建立連接，服務器正處於正常的接聽狀態。

　　第一步：我們也就是客戶端發送一個帶SYN位的請求，向服務器表示需要連接，假設請求包的序列號為10，那麼則為：SYN=10，ACK=0，然後等待服務器的回應。

　　第二步：服務器接收到這樣的請求包後，查看是否在接聽的是指定的端口，如果不是就發送RST=1回應，拒絕建立連接。如果接收請求包，那麼服務器發送確認回應，SYN為服務器的一個內碼，假設為100，ACK位則是客戶端的請求序號加1，本例中發送的數據是：SYN=100，ACK=11，用這樣的數據回應給我們。向我們表示，服務器連接已經准備好了，等待我們的確認。這時我們接收到回應後，分析得到的信息，准備發送確認連接信號到服務器。

　　第三步：我們發送確認建立連接的信息給服務器。確認信息的SYN位是服務器發送的ACK位，ACK位是服務器發送的SYN位加1。即：SYN=11，ACK=101。

　　這樣我們的連接就建立起來了。

　　DDoS究竟如何攻擊?目前最流行也是最好用的攻擊方法就是使用SYN-Flood進行攻擊，SYN-Flood也就是SYN洪水攻擊。SYN-Flood不會完成TCP三次握手的第三步，也就是不發送確認連接的信息給服務器。這樣，服務器無法完成第三次握手，但服務器不會立即放棄，服務器會不停的重試並等待一定的時間後放棄這個未完成的連接，這段時間叫做SYN timeout，這段時間大約30秒-2分鍾左右。若是一個用戶在連接時出現問題導致服務器的一個線程等待1分鍾並不是什麼大不了的問題，但是若有人用特殊的軟件大量模擬這種情況，那後果就可想而知了。一個服務器若是處理這些大量的半連接信息而消耗大量的系統資源和網絡帶寬，這樣服務器就不會再有空餘去處理普通用戶的正常請求(因為客戶的正常請求比率很小)。這樣這個服務器就無法工作了，這種攻擊就叫做：SYN-Flood攻擊。

　　到目前為止，進行DDoS攻擊的防御還是比較困難的。首先，這種攻擊的特點是它利用了TCP/IP協議的漏洞，除非你不用TCP/IP，纔有可能完全抵御住DDoS攻擊。不過這不等於我們就沒有辦法阻擋DDoS攻擊，我們可以盡力來減少DDoS的攻擊。下面就是一些防御方法：

　　1。確保服務器的系統文件是最新的版本，並及時更新系統補丁。

　　2。關閉不必要的服務。

　　3。限制同時打開的SYN半連接數目。

　　4。縮短SYN半連接的time out 時間。

　　5。正確設置防火牆

　　禁止對主機的非開放服務的訪問

　　限制特定IP地址的訪問

　　啟用防火牆的防DDoS的屬性

　　嚴格限制對外開放的服務器的向外訪問

　　運行端口映射程序禍端口掃描程序，要認真檢查特權端口和非特權端口。

　　6。認真檢查網絡設備和主機/服務器系統的日志。只要日志出現漏洞或是時間變更，那這臺機器就可能遭到了攻擊。

　　7。限制在防火牆外與網絡文件共享。這樣會給黑客截取系統文件的機會，主機的信息暴露給黑客，無疑是給了對方入侵的機會。

　　能夠了解DDoS攻擊的原理，對我們防御的措施在加以改進，我們就可以擋住一部分的DDoS攻擊，知己知彼，百戰不殆嘛。

資料來源:不可不知！DDoS的攻擊原理與防御方法

涅炎

不明觉厉

绝望

毁灭大神居然来这里发帖了 前排不明觉厉

nature零

謝謝會員提供資料, 但沒這麼簡單

LEX、

太长不想看.看了也看不懂=_=
不过知道是对乐园有帮助的..支持一下...



话说那丧心病狂的攻击到底还要持续多久..这特么从8月就开始攻到现在..他喵的不累么..

lovechg951013

看晕了= -

魂魄妖梦

呃。。。。可以发简体嘛0A0？。。

罪木蜜柑

lz好像很叼的样子，你来处理吧

科学小飞侠

感谢楼主好心提供

shuiyind

DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务，而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。
  不过这3中攻击方法最厉害的还是DDoS，那个DRDoS攻击虽然是新近出的一种攻击方法，但它只是DDoS攻击的变形，它的唯一不同就是不用佔领大量的『肉鸡』。这三种方法都是利用TCP三次握手的漏洞进行攻击的，所以对它们的防御办法都是差不多的。
  DoS攻击是最早出现的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。但是现在的科技飞速发展，一般的网站主机都有十几臺主机，而且各个主机的处理能力、内存大小和网络速度都有飞速的发展，有的网络带宽甚至超过了千兆级别。这样我们的一对一单挑式攻击就没有什麼作用了，搞不好自己的机子就会死掉。举个这样的攻击例子，假如你的机器每秒能够发送10个攻击用的数据包，而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包，那样的话，你的攻击就什麼用处都没有了，而且非常有死机的可能。要知道，你若是发送这种1Vs1的攻击，你的机器的CPU佔用率是90%以上的，你的机器要是配置不够高的话，那你就死定了。

[viewimg]
不过，科技在发展，黑客的技术也在发展。正所谓道高一尺，魔高一仗。经过无数次当机，黑客们终於又找到一种新的DoS攻击方法，这就是DDoS攻击。它的原理说白了就是群殴，用好多的机器对目标机器一起发动DoS攻击，但这不是很多黑客一起参与的，这种攻击只是由一名黑客来操作的。这名黑客不是拥有很多机器，他是通过他的机器在网络上佔领很多的『肉鸡』，并且控制这些『肉鸡』来发动DDoS攻击，要不然怎麼叫做分布式呢。还是刚纔的那个例子，你的机器每秒能发送10攻击数据包，而被攻击的机器每秒能够接受100的数据包，这样你的攻击肯定不会起作用，而你再用10臺或更多的机器来对被攻击目标的机器进行攻击的话，嘿嘿!结果我就不说了。
[viewimg]
DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前佔领大量的『肉鸡』。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基於广播地址与回应请求的。一臺计算机向另一臺计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计算机处理的，每处理一个就要佔用一份系统资源，如果同时接到网络上所有计算机的回应，接收方的系统是有可能吃不消的，就象遭到了DDoS攻击一样。不过是没有人笨到自己攻击自己，不过这种方法被黑客加以改进就具有很大的威力了。黑客向广播地址发送请求包，所有的计算机得到请求后，却不会把回应发到黑客那裡，而是发到被攻击主机。这是因為黑客冒充了被攻击主机。黑客发送请求包所用的软件是可以偽造源地址的，接到偽造数据包的主机会根据源地址把回应发出去，这当然就是被攻击主机的地址。黑客同时还会把发送请求包的时间间隔减小，这样在短时间能发出大量的请求包，使被攻击主机接到从被欺骗计算机那裡传来的洪水般的回应，就像遭到了DDoS攻击导致系统崩溃。骇客借助了网络中所有计算机来攻击受害者，而不需要事先去佔领这些被欺骗的主机，这就是Smurf攻击。而DRDoS攻击正是这个原理，黑客同样利用特殊的发包工具，首先把偽造了源地址的SYN连接请求包发送到那些被欺骗的计算机上，根据TCP三次握手的规则，这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。同Smurf攻击一样，黑客所发送的请求包的源IP地址是被攻击主机的地址，这样受欺骗的主机就都会把回应发到被攻击主机处，造成被攻击主机忙於处理这些回应而瘫痪。
[viewimg]
解释：
  SYN：(Synchronize sequence numbers)用来建立连接，在连接请求中，SYN=1，ACK=0，连接响应时，SYN=1，ACK=1。即，SYN和ACK来区分Connection Request和Connection Accepted。
  RST：(Reset the connection)用於復位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。
  ACK：(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)為合法，為0的时候表示数据段不包含确认信息，确认号被忽略。
TCP三次握手：
[viewimg]

假设我们要准备建立连接，服务器正处於正常的接听状态。
  第一步：我们也就是客户端发送一个带SYN位的请求，向服务器表示需要连接，假设请求包的序列号為10，那麼则為：SYN=10，ACK=0，然后等待服务器的回应。
  第二步：服务器接收到这样的请求包后，查看是否在接听的是指定的端口，如果不是就发送RST=1回应，拒绝建立连接。如果接收请求包，那麼服务器发送确认回应，SYN為服务器的一个内码，假设為100，ACK位则是客户端的请求序号加1，本例中发送的数据是：SYN=100，ACK=11，用这样的数据回应给我们。向我们表示，服务器连接已经准备好了，等待我们的确认。这时我们接收到回应后，分析得到的信息，准备发送确认连接信号到服务器。
  第三步：我们发送确认建立连接的信息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即：SYN=11，ACK=101。
  这样我们的连接就建立起来了。
  DDoS究竟如何攻击?目前最流行也是最好用的攻击方法就是使用SYN-Flood进行攻击，SYN-Flood也就是SYN洪水攻击。SYN-Flood不会完成TCP三次握手的第三步，也就是不发送确认连接的信息给服务器。这样，服务器无法完成第三次握手，但服务器不会立即放弃，服务器会不停的重试并等待一定的时间后放弃这个未完成的连接，这段时间叫做SYN timeout，这段时间大约30秒-2分钟左右。若是一个用户在连接时出现问题导致服务器的一个线程等待1分钟并不是什麼大不了的问题，但是若有人用特殊的软件大量模拟这种情况，那后果就可想而知了。一个服务器若是处理这些大量的半连接信息而消耗大量的系统资源和网络带宽，这样服务器就不会再有空餘去处理普通用户的正常请求(因為客户的正常请求比率很小)。这样这个服务器就无法工作了，这种攻击就叫做：SYN-Flood攻击。
  到目前為止，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了TCP/IP协议的漏洞，除非你不用TCP/IP，纔有可能完全抵御住DDoS攻击。不过这不等於我们就没有办法阻挡DDoS攻击，我们可以尽力来减少DDoS的攻击。下面就是一些防御方法：
  1。确保服务器的系统文件是最新的版本，并及时更新系统补丁。
  2。关闭不必要的服务。
  3。限制同时打开的SYN半连接数目。
  4。缩短SYN半连接的time out 时间。
  5。正确设置防火墙
  禁止对主机的非开放服务的访问
  限制特定IP地址的访问
  啟用防火墙的防DDoS的属性
  严格限制对外开放的服务器的向外访问
  运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。
  6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这臺机器就可能遭到了攻击。
  7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。

  能够了解DDoS攻击的原理，对我们防御的措施在加以改进，我们就可以挡住一部分的DDoS攻击，知己知彼，百战不殆嘛。


资料来源:不可不知！DDoS的攻击原理与防御方法

给你的承诺

高中生表示看不懂………………