【文章內(nèi)容簡介】 的前身，翻譯為拒絕服務。拒絕服務是如今網(wǎng)絡攻擊手段中最常見的一種。它故意的攻擊網(wǎng)絡協(xié)議中的缺陷或直接通過一些手段耗盡被攻擊對象的資源， 阻止客戶訪問網(wǎng)絡服務，從而使網(wǎng)絡服務無法正常運作甚至于關閉。 目標計算機或網(wǎng)絡無法提供正常的服務或資源訪問，使目標系統(tǒng)服務停止響應甚至崩潰，而最值得注意的一點是，攻擊者在此攻擊中并不會入侵目標服務器或目標的網(wǎng)絡設備，只是單純利用網(wǎng)絡缺陷或者暴力消耗就可以達到其破壞目的。 DoS 的攻擊方式一般都是一對一方式，而且攻擊者 一般都不用自己的計算機，其目的是為躲避追蹤。攻擊者直接利用一臺控制機 /或者設備，對攻擊目標發(fā)起 DoS 攻擊。在網(wǎng)絡還不發(fā)達的時代， DoS 攻擊對處在硬件性能偏低、網(wǎng)絡連接狀況不好等情況下的攻擊目標，其攻擊效果十分的明顯，一個攻擊者就極有可能摧毀一整個網(wǎng)站或者服務器。在當代隨著計算機和網(wǎng)絡技術的發(fā)展，硬件設備處理性能的加速度提高，成本也變得十分低廉，帶寬、出入口節(jié)點寬度等也得到了極大的提升，這使得傳統(tǒng)的DoS 攻擊很難產(chǎn)生效果。 DDOS 伴隨著這種情況的發(fā)生，誕生了。 ． DDoS 概念 DDoS（ Distributed Denial Of Service），分布式拒絕服務。是在 DoS 攻擊的基礎上，攻擊者借助于客戶 /服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動 DoS 攻擊，從而成倍地提高拒絕服務攻擊的威力，這樣就能極為暴力的將原本處理能力很強的目標服務器攻陷。由此可知， DDoS 與 DoS 的最大區(qū)別是數(shù)量的關系。 DoS 相對于 DDoS 來說就像是一個個體，而 DDoS 是無數(shù) DoS 的集合。另外， DDoS 攻擊方式較為自動化，攻擊者把他的攻擊程序安裝到網(wǎng)絡中的多臺傀儡機上，所采用的這種攻擊方式很難被攻擊對象 察覺，直到攻擊者發(fā)下統(tǒng)一的攻擊命令，這些機器才同時發(fā)起進攻?？梢哉f DDoS 攻擊是由黑客集中控制發(fā)動的一組 DoS 攻擊的集合，這種方式被認為是最有效的攻擊形式，并且非常難以抵擋。圖表 1 為分布式攻擊模型。 延邊大學本科畢業(yè)論文 4 圖表 1 DDoS 攻擊模型 延邊大學本科畢業(yè)論文 5 第三章 DDoS 攻擊動機和癥狀特征 ． DDoS 攻擊的動機 黑客采用這種具有極強破壞力的攻擊方式，一般有以下幾點動機： 仇恨或報復。攻擊者由于對公司或者組織的不滿而發(fā)起報復性攻擊； 經(jīng)濟原因。由于 DDoS 攻擊會造成大型服務器癱瘓，導致 很大的經(jīng)濟損失，因此一些攻擊者以此作為敲詐勒索的手段； 政治原因或信息戰(zhàn)。一些組織或個人通過此手段發(fā)動信息戰(zhàn)爭，震懾敵人等。 ． DDoS 攻擊的癥狀特征 遭到 DDoS 攻擊后，常見的癥狀特征有以下幾種： 被攻擊主機上有大批 等待 的 TCP 連接； 數(shù)據(jù)流 中 充 滿 著 大 批 的 無用 的 數(shù)據(jù) 包 ， 源 地址 為假 ； 服務器處理能力滿負荷，或頻繁死機或重啟動； 鏈路中存在大量 高流量無用數(shù)據(jù)，造成 數(shù)據(jù)鏈路 擁塞，使受害主機無法正常和外界通信 ； 利用 受害主機 可以提供 服務 或傳輸協(xié)定 這一 缺點，重復高速的發(fā)出特定的 服務 請求 ，使受害主機無法實時處置全部正常 請求。 延邊大學本科畢業(yè)論文 6 第四章 DDoS 攻擊步驟介紹 ． DDoS 攻擊步驟 DDoS 攻擊，并非像 DoS 攻擊那樣簡單，攻擊者想要進行 DDoS 攻擊，一般需要經(jīng)歷以下 3 個步驟： . 獲取目標信息 黑客非常關心的情報有：被攻擊目標主機數(shù)目、地址情況；目標主機的配置、性能；目標的帶寬。 對于 DDoS 攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個站點，有一個重點就是確定到底有多少臺主機在支持這個站點，一個大的網(wǎng)站一般有很多臺主機利用負載均衡技術提供同一個網(wǎng)站的 服務。攻擊者想要 徹底使目標站點拒絕服務，就必須使支持該站點的所有主機都拒絕服務。 所以，事先搜集目標主機（或者主機群）的信息對 DDoS 攻擊者來說是非常重要的，這關系到使用多少臺傀儡機才能達到效果的問題。 . 占領傀儡機 黑客最感興趣的主機有三個基本條件：鏈路狀態(tài)好；性能好；安全管理水平差。 攻擊者占領傀儡機的方法有多種，如掃描端口、安置后門程序、網(wǎng)站惡意鏈接等等。目前，獲得大量傀儡機最有效的方法是通過攜帶后門程序的蠕蟲，通過蠕蟲的傳播，后門程序就被安裝到受蠕蟲感染的傀儡機上。因此，這些傀儡機被攻擊者侵占并安裝上了攻擊程序，隨時等待攻擊者的命令。 . 實際攻擊 經(jīng)過前 2 個階段的精心準備之后，黑客就開始瞄準目標準備攻擊了。具體步驟為：黑客首先登錄到作為控制臺的傀儡機，并向所有的攻擊機發(fā)出攻擊命令，這時候存于攻擊機中的 DDoS 攻擊程序就會響應控制臺的命令，一起向受害主機以高速度發(fā)送大量的數(shù) 據(jù)包，導致目標主機死機或是無法響應正常的請求，達到攻擊效果。 延邊大學本科畢業(yè)論文 7 第五章 DDoS 攻擊常見分類 ． SYN Flood【 1】攻擊 SYNFlood 攻擊是當前網(wǎng)絡上最為常見的 DDoS 攻擊，也是最為經(jīng)典的拒絕服務攻擊，它利用了 TCP 協(xié)議實現(xiàn)上的一個缺陷，通過向網(wǎng)絡服務所在端口發(fā)送大量的偽造源地址的攻擊數(shù)據(jù)包，造成目標服務器中的 半開連接 【 2】 隊列被占滿，從而阻止其他合法用戶進行訪問。 正常的 TCP 請求如 圖表 2，客戶機與服務器通過三次握手的方式建立可靠連接，然后實現(xiàn)數(shù)據(jù)傳輸。 SYNFlood 攻擊則不會完成 TCP 三次握手的第三步（如 圖表 3），也就是不發(fā)送確認連接的信息 ACK 給服務器。這樣，服務器無法完成第三次握手，但服務器不會立即放棄，服務器會不停的重試并等待一定的時間后放棄這個未完成的連接，這段時間叫做 SYN timeout，這段時間大約 75 秒左右。由于半開連接的數(shù)量是有限的（很多操作系統(tǒng)的半開連接數(shù)的默認值為 1024），如果攻擊者大量發(fā)送這種偽造源地址的 SYN 請求，服務器端將會消耗非常多的資源來處理這種半開連接而不會有空余去處理普通用戶的正常請求 (因為客戶的正常請求比率很小 )，最終該服務器便無法正常工作，從 而達到攻擊者的目的。 圖表 2 TCP 連接的三次握手 延邊大學本科畢業(yè)論文 8 圖表 3 SYNFlood 攻擊模型 ． Connection Flood 攻擊 Connection Flood 即 TCP 連接耗盡攻擊（或叫著空連接攻擊），是一種典型的、非常有效的躲避防火墻阻擋的攻擊方式。這種攻擊的原理是攻擊者操控大量的具有真實的 IP 地址的傀儡主機或者代理服務器對目標服務器發(fā)起大規(guī)模的連接，并且在建立連接之后不發(fā)送數(shù)據(jù)，迫使服務器一直保 持連接狀態(tài)，占用服務器的資源，當連接數(shù)達到一定規(guī)模，超過了服務器的能力時，正常的連接請求將無法建立，從而達到拒絕服務的攻擊目的。 Connection Flood 攻擊模型如 圖表 4。值得一提的是， Connection Flood 攻擊不同于 SYN Flood 攻擊， SYN Flood 攻擊需要持續(xù)發(fā)送數(shù)據(jù)，而這種攻擊無需不停地向受害者發(fā)起連接，只要連接數(shù)達到一定水平以后，攻擊者就可以停止發(fā)送，而受害者系統(tǒng)將一直保持拒絕服務狀態(tài)。通常這可以在防火墻上限制每個源 IP地址每秒鐘的連接數(shù)來達到防護目的。 延邊大學本科畢業(yè)論文 9 圖表 4 Connection Flood 攻擊模型 ． CC 攻擊 CC 是 Challenge Collapsar 的縮寫，譯為向黑洞發(fā)起挑戰(zhàn)。 CC 攻擊是最著名的基于腳本頁面的 DDoS 攻擊，也是最典型的以小博大的攻擊方式。 CC 攻擊的原理是攻擊者借助代理服務器或者利用自己控制的大量傀儡機向目標服務器發(fā)起基于 HTTP協(xié)議的正常的連接請求，迫使目標服務器忙于處理這些請求而無暇處理正常用戶的請求，從而達到拒絕服務的攻擊目的。 CC 攻擊主要是針對存在 A