【文章內容簡介】 在攻擊時不會受到監(jiān)控系統(tǒng)的跟蹤，身份不容易被發(fā)現(xiàn)。 DDOS攻擊原理與表現(xiàn)形式 DDOS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網絡服務。 DDOS攻擊方式本次實驗利用ICMP Flood和UDP Flood進行攻擊。 ICMP Flood攻擊技術ICMP Flood 的攻擊屬于流量型攻擊方式，利用大的流量給服務器帶來較大的負載，影響服務器正常運行。ping 使用的是echo應答，ping的速度很慢僅為15包/秒，事實上ICMP本身并不慢（由于ICMP是SOCK_RAW產生的原始報文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快幾乎 10倍！），這樣的速度是ping程序故意延遲的。并且必須等待目標主機返回REPLAY信息，這個過程需要花費大量的時間。而Flood——洪水，是速度極快的，當一個程序發(fā)送數(shù)據包的速度達到了每秒1000個以上，它的性質就成了洪水產生器，洪水數(shù)據是從洪水產生器里出來的。但這樣還不夠，沒有足夠的帶寬，再猛的洪水也只能像公路塞車那樣慢慢移動，成了雞肋。要做真正的洪水，就需要有一條足夠寬的高速公路才可以。 ICMP flood攻擊分為三種方式：。直接使用自己的機器去攻擊別人，這要求有足夠的帶寬。直接攻擊會暴露自己IP地址，一般不常見。它隨意偽造一個IP來flood。屬于比較隱蔽陰險的flood。用采取這種方式的第一個工具的名稱來命名的“Smurf”洪水攻擊，把隱蔽性又提高了一個檔次，這種攻擊模式里，最終淹沒目標的洪水不是由攻擊者發(fā)出的，也不是偽造IP發(fā)出的，而是正常通訊的服務器發(fā)出的。Smurf方式把源IP設置為受害者IP，然后向多臺服務器發(fā)送ICMP報文（通常是ECHO請求），這些接收報文的服務器被報文欺騙，向受害者返回ECHO應答（Type=0），導致垃圾阻塞受害者的門口。 UDP Flood 攻擊技術 UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k pps的UDPFlood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。由于UDP協(xié)議是一種無連接的服務，在UDPFLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那么就可針對相關的服務進行攻擊。正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現(xiàn)UDPFlood的情況下，針對同一目標IP的UDP包在一側大量出現(xiàn)，并且內容和大小都比較固定。1 SYN/ACK Flood攻擊 這種攻擊方法是經典最有效的DDOS方法，適用于各種系統(tǒng)的網絡服務，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務，由于源都是偽造的，所以追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵尸主機支持。少量的這種攻擊會導致主機服務器無法訪問，但卻可以Ping通，在服務器上用Netstat na命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應鍵盤和鼠標。2 TCP全連接攻擊 這種攻擊是為了繞過常規(guī)防火墻的檢查而設計的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網絡服務程序（如：IIS、Apache等Web服務器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機不斷地與受害服務器建立大量的TCP連接，直到服務器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火墻的防護而達到攻擊目的，缺點是需要找很多僵尸主機，并且由于僵尸主機的IP是暴露的，因此容易被追蹤。3 刷Script腳本攻擊 這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調用MSSQLServer、MySQLServer、Oracle等數(shù)據庫的網站系統(tǒng)而設計的，特征是和服務器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費數(shù)據庫資源的調用，典型的以小