【文章內(nèi)容簡(jiǎn)介】 的前身，翻譯為拒絕服務(wù)。拒絕服務(wù)是如今網(wǎng)絡(luò)攻擊手段中最常見的一種。它故意的攻擊網(wǎng)絡(luò)協(xié)議中的缺陷或直接通過一些手段耗盡被攻擊對(duì)象的資源， 阻止客戶訪問網(wǎng)絡(luò)服務(wù)，從而使網(wǎng)絡(luò)服務(wù)無(wú)法正常運(yùn)作甚至于關(guān)閉。 目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰，而最值得注意的一點(diǎn)是，攻擊者在此攻擊中并不會(huì)入侵目標(biāo)服務(wù)器或目標(biāo)的網(wǎng)絡(luò)設(shè)備，只是單純利用網(wǎng)絡(luò)缺陷或者暴力消耗就可以達(dá)到其破壞目的。 DoS 的攻擊方式一般都是一對(duì)一方式，而且攻擊者 一般都不用自己的計(jì)算機(jī)，其目的是為躲避追蹤。攻擊者直接利用一臺(tái)控制機(jī) /或者設(shè)備，對(duì)攻擊目標(biāo)發(fā)起 DoS 攻擊。在網(wǎng)絡(luò)還不發(fā)達(dá)的時(shí)代， DoS 攻擊對(duì)處在硬件性能偏低、網(wǎng)絡(luò)連接狀況不好等情況下的攻擊目標(biāo)，其攻擊效果十分的明顯，一個(gè)攻擊者就極有可能摧毀一整個(gè)網(wǎng)站或者服務(wù)器。在當(dāng)代隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，硬件設(shè)備處理性能的加速度提高，成本也變得十分低廉，帶寬、出入口節(jié)點(diǎn)寬度等也得到了極大的提升，這使得傳統(tǒng)的DoS 攻擊很難產(chǎn)生效果。 DDOS 伴隨著這種情況的發(fā)生，誕生了。 ． DDoS 概念 DDoS（ Distributed Denial Of Service），分布式拒絕服務(wù)。是在 DoS 攻擊的基礎(chǔ)上，攻擊者借助于客戶 /服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng) DoS 攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力，這樣就能極為暴力的將原本處理能力很強(qiáng)的目標(biāo)服務(wù)器攻陷。由此可知， DDoS 與 DoS 的最大區(qū)別是數(shù)量的關(guān)系。 DoS 相對(duì)于 DDoS 來說就像是一個(gè)個(gè)體，而 DDoS 是無(wú)數(shù) DoS 的集合。另外， DDoS 攻擊方式較為自動(dòng)化，攻擊者把他的攻擊程序安裝到網(wǎng)絡(luò)中的多臺(tái)傀儡機(jī)上，所采用的這種攻擊方式很難被攻擊對(duì)象 察覺，直到攻擊者發(fā)下統(tǒng)一的攻擊命令，這些機(jī)器才同時(shí)發(fā)起進(jìn)攻。可以說 DDoS 攻擊是由黑客集中控制發(fā)動(dòng)的一組 DoS 攻擊的集合，這種方式被認(rèn)為是最有效的攻擊形式，并且非常難以抵擋。圖表 1 為分布式攻擊模型。 延邊大學(xué)本科畢業(yè)論文 4 圖表 1 DDoS 攻擊模型 延邊大學(xué)本科畢業(yè)論文 5 第三章 DDoS 攻擊動(dòng)機(jī)和癥狀特征 ． DDoS 攻擊的動(dòng)機(jī) 黑客采用這種具有極強(qiáng)破壞力的攻擊方式，一般有以下幾點(diǎn)動(dòng)機(jī)： 仇恨或報(bào)復(fù)。攻擊者由于對(duì)公司或者組織的不滿而發(fā)起報(bào)復(fù)性攻擊； 經(jīng)濟(jì)原因。由于 DDoS 攻擊會(huì)造成大型服務(wù)器癱瘓，導(dǎo)致 很大的經(jīng)濟(jì)損失，因此一些攻擊者以此作為敲詐勒索的手段； 政治原因或信息戰(zhàn)。一些組織或個(gè)人通過此手段發(fā)動(dòng)信息戰(zhàn)爭(zhēng)，震懾?cái)橙说取? ． DDoS 攻擊的癥狀特征 遭到 DDoS 攻擊后，常見的癥狀特征有以下幾種： 被攻擊主機(jī)上有大批 等待 的 TCP 連接； 數(shù)據(jù)流 中 充 滿 著 大 批 的 無(wú)用 的 數(shù)據(jù) 包 ， 源 地址 為假 ； 服務(wù)器處理能力滿負(fù)荷，或頻繁死機(jī)或重啟動(dòng)； 鏈路中存在大量 高流量無(wú)用數(shù)據(jù)，造成 數(shù)據(jù)鏈路 擁塞，使受害主機(jī)無(wú)法正常和外界通信 ； 利用 受害主機(jī) 可以提供 服務(wù) 或傳輸協(xié)定 這一 缺點(diǎn)，重復(fù)高速的發(fā)出特定的 服務(wù) 請(qǐng)求 ，使受害主機(jī)無(wú)法實(shí)時(shí)處置全部正常 請(qǐng)求。 延邊大學(xué)本科畢業(yè)論文 6 第四章 DDoS 攻擊步驟介紹 ． DDoS 攻擊步驟 DDoS 攻擊，并非像 DoS 攻擊那樣簡(jiǎn)單，攻擊者想要進(jìn)行 DDoS 攻擊，一般需要經(jīng)歷以下 3 個(gè)步驟： . 獲取目標(biāo)信息 黑客非常關(guān)心的情報(bào)有：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況；目標(biāo)主機(jī)的配置、性能；目標(biāo)的帶寬。 對(duì)于 DDoS 攻擊者來說，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，有一個(gè)重點(diǎn)就是確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站一般有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的 服務(wù)。攻擊者想要 徹底使目標(biāo)站點(diǎn)拒絕服務(wù)，就必須使支持該站點(diǎn)的所有主機(jī)都拒絕服務(wù)。 所以，事先搜集目標(biāo)主機(jī)（或者主機(jī)群）的信息對(duì) DDoS 攻擊者來說是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問題。 . 占領(lǐng)傀儡機(jī) 黑客最感興趣的主機(jī)有三個(gè)基本條件：鏈路狀態(tài)好；性能好；安全管理水平差。 攻擊者占領(lǐng)傀儡機(jī)的方法有多種，如掃描端口、安置后門程序、網(wǎng)站惡意鏈接等等。目前，獲得大量傀儡機(jī)最有效的方法是通過攜帶后門程序的蠕蟲，通過蠕蟲的傳播，后門程序就被安裝到受蠕蟲感染的傀儡機(jī)上。因此，這些傀儡機(jī)被攻擊者侵占并安裝上了攻擊程序，隨時(shí)等待攻擊者的命令。 . 實(shí)際攻擊 經(jīng)過前 2 個(gè)階段的精心準(zhǔn)備之后，黑客就開始瞄準(zhǔn)目標(biāo)準(zhǔn)備攻擊了。具體步驟為：黑客首先登錄到作為控制臺(tái)的傀儡機(jī)，并向所有的攻擊機(jī)發(fā)出攻擊命令，這時(shí)候存于攻擊機(jī)中的 DDoS 攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù) 據(jù)包，導(dǎo)致目標(biāo)主機(jī)死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求，達(dá)到攻擊效果。 延邊大學(xué)本科畢業(yè)論文 7 第五章 DDoS 攻擊常見分類 ． SYN Flood【 1】攻擊 SYNFlood 攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的 DDoS 攻擊，也是最為經(jīng)典的拒絕服務(wù)攻擊，它利用了 TCP 協(xié)議實(shí)現(xiàn)上的一個(gè)缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量的偽造源地址的攻擊數(shù)據(jù)包，造成目標(biāo)服務(wù)器中的 半開連接 【 2】 隊(duì)列被占滿，從而阻止其他合法用戶進(jìn)行訪問。 正常的 TCP 請(qǐng)求如 圖表 2，客戶機(jī)與服務(wù)器通過三次握手的方式建立可靠連接，然后實(shí)現(xiàn)數(shù)據(jù)傳輸。 SYNFlood 攻擊則不會(huì)完成 TCP 三次握手的第三步（如 圖表 3），也就是不發(fā)送確認(rèn)連接的信息 ACK 給服務(wù)器。這樣，服務(wù)器無(wú)法完成第三次握手，但服務(wù)器不會(huì)立即放棄，服務(wù)器會(huì)不停的重試并等待一定的時(shí)間后放棄這個(gè)未完成的連接，這段時(shí)間叫做 SYN timeout，這段時(shí)間大約 75 秒左右。由于半開連接的數(shù)量是有限的（很多操作系統(tǒng)的半開連接數(shù)的默認(rèn)值為 1024），如果攻擊者大量發(fā)送這種偽造源地址的 SYN 請(qǐng)求，服務(wù)器端將會(huì)消耗非常多的資源來處理這種半開連接而不會(huì)有空余去處理普通用戶的正常請(qǐng)求 (因?yàn)榭蛻舻恼Ｕ?qǐng)求比率很小 )，最終該服務(wù)器便無(wú)法正常工作，從 而達(dá)到攻擊者的目的。 圖表 2 TCP 連接的三次握手 延邊大學(xué)本科畢業(yè)論文 8 圖表 3 SYNFlood 攻擊模型 ． Connection Flood 攻擊 Connection Flood 即 TCP 連接耗盡攻擊（或叫著空連接攻擊），是一種典型的、非常有效的躲避防火墻阻擋的攻擊方式。這種攻擊的原理是攻擊者操控大量的具有真實(shí)的 IP 地址的傀儡主機(jī)或者代理服務(wù)器對(duì)目標(biāo)服務(wù)器發(fā)起大規(guī)模的連接，并且在建立連接之后不發(fā)送數(shù)據(jù)，迫使服務(wù)器一直保 持連接狀態(tài)，占用服務(wù)器的資源，當(dāng)連接數(shù)達(dá)到一定規(guī)模，超過了服務(wù)器的能力時(shí)，正常的連接請(qǐng)求將無(wú)法建立，從而達(dá)到拒絕服務(wù)的攻擊目的。 Connection Flood 攻擊模型如 圖表 4。值得一提的是， Connection Flood 攻擊不同于 SYN Flood 攻擊， SYN Flood 攻擊需要持續(xù)發(fā)送數(shù)據(jù)，而這種攻擊無(wú)需不停地向受害者發(fā)起連接，只要連接數(shù)達(dá)到一定水平以后，攻擊者就可以停止發(fā)送，而受害者系統(tǒng)將一直保持拒絕服務(wù)狀態(tài)。通常這可以在防火墻上限制每個(gè)源 IP地址每秒鐘的連接數(shù)來達(dá)到防護(hù)目的。 延邊大學(xué)本科畢業(yè)論文 9 圖表 4 Connection Flood 攻擊模型 ． CC 攻擊 CC 是 Challenge Collapsar 的縮寫，譯為向黑洞發(fā)起挑戰(zhàn)。 CC 攻擊是最著名的基于腳本頁(yè)面的 DDoS 攻擊，也是最典型的以小博大的攻擊方式。 CC 攻擊的原理是攻擊者借助代理服務(wù)器或者利用自己控制的大量傀儡機(jī)向目標(biāo)服務(wù)器發(fā)起基于 HTTP協(xié)議的正常的連接請(qǐng)求，迫使目標(biāo)服務(wù)器忙于處理這些請(qǐng)求而無(wú)暇處理正常用戶的請(qǐng)求，從而達(dá)到拒絕服務(wù)的攻擊目的。 CC 攻擊主要是針對(duì)存在 A